菜单
漏洞描述:
Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等。
2023年6月22日,Grafana发布安全公告,修复了一处身份认证绕过漏洞,漏洞编号:CVE-2023-3128,漏洞危害等级:严重。
由于Grafana和 Azure AD 租户对于电子邮件地址的处理存在差异,未经身份认证的远程攻击者可以构造恶意请求利用该漏洞,成功利用此漏洞可以绕过身份认证接管Grafana 账户。
影响版本:
10.0<=Grafana<=10.0.1
9.5.0<=Grafana<=9.5.5
9.4.0<=Grafana<=9.4.13
9.3.0<=Grafana<=9.3.16
9.2<=Grafana<=9.2.20
8.5<=Grafana<=8.5.27
修复建议
官方已发布新版本中修复上述漏洞,受影响用户请尽快升级到安全版本。
漏洞修复版本:
Grafana >= 10.0.1
Grafana >= 9.5.5
Grafana >= 9.4.13
Grafana >= 9.3.16
Grafana >= 9.2.20
Grafana >= 8.5.27
下载链接:
https://grafana.com/grafana/download
参考链接:
https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/
粤公网安备 44010402002568号