Grafana 发布安全补丁修复关键漏洞

关键要点

• Grafana 发现并修复了一个严重的安全漏洞（CVE-2023-3128），可能导致账户被劫持。
• 漏洞源于 Azure Active Directory 的电子邮件声明验证。
• 受影响的用户可能面临账户完全控制和数据泄露的风险。
• 建议用户升级至 Grafana 的最新版本，或采取其他减缓措施。

开源分析和互动可视化应用程序 Grafana 发布了针对一个重要安全漏洞的补丁，该漏洞被追踪为 CVE-2023-3128。根据
，该漏洞可被利用来劫持使用
进行身份验证的账户。Grafana指出，该漏洞源于 Azure AD 账户的电子邮件声明验证。

“这可能导致 Grafana 账户被接管和身份验证绕过，尤其是在 Azure AD OAuth
配置为多租户的情况下。如果被利用，攻击者可以完全控制用户的账户，包括访问私有客户数据和敏感信息，”Grafana 在其公告中表示。

为了应对这一安全风险，建议组织将 Grafana 升级至以下版本之一： – Grafana 10.0.1 或更高版本 – Grafana 9.5.5或更高版本 – Grafana 9.4.13 或更高版本 – Grafana 9.3.16 或更高版本 – Grafana 9.2.20 或更高版本
– Grafana 8.5.27 或更高版本

对于无法立即升级的用户，建议在 Azure AD 中执行单租户应用程序注册，并在 Azure AD设置中创建“allowed_groups”配置，以便进行缓解。

相关链接

确保您的系统已更新并采取必要的措施以保护您的信息安全。