深度图像识别供应商 Grafana 曝出漏洞,可挟持微软 Azure AD账号

2023-06-28 09:02:49 来源:IT之家 分享到:


(资料图片)

IT之家 6 月 28 日消息,深度图像识别方案供应商 Grafana 日前发布安全通告,表示旗下 Grafana 环境存在重大漏洞 CVE-2023-3128,黑客可利用该漏洞接管挟持所登录的微软 Azure AD 账号。

▲ 图源 Grafana 官网

据悉,这项漏洞起因是 Grafana 平台使用电子邮件信箱来验证 Azure AD 账号,一旦黑客对此加以利用,就能在采用 Azure AD 的 OAuth 身份验证的 Grafana 环境当中,绕过身份验证并接管 Azure AD 的用户账号。

IT之家注意到,该漏洞 CVSS 风险评分为 9.4,影响 6.7.0 版以上的 Grafana,目前 Grafana 已经对此推出了以下更新版本来解决相关漏洞问题:

  • 8.5.27;

  • 9.2.20;

  • 9.3.16;

  • 9.4.13;

  • 9.5.5;

  • 10.0.1。

    同时开发团队也为 Grafana Cloud 完成了相关漏洞修复工作。而对于暂时无法安装更新程序的用户,他们也提出缓解措施:

    关键词:

Copyright   2015-2022 人人城建网 版权所有  备案号:粤ICP备18023326号-36   联系邮箱:8557298@qq.com