登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Products___Technology/Products/IP_Security/Security_Research/Home/Notice/Notice/202309/1930888_30003_0.htm

Grafana 身份认证绕过漏洞(CVE-2023-3128)通告

【发布时间:2023-09-18】

新华三盾山实验室

2023/06/27


1. 漏洞综述

1.1 漏洞背景

Grafana是一款流行的可视化和监控平台,可以从多个数据源中提取,转换和展示实时数据。提供了一个强大的面板化系统,让用户可以自由地组织和布局各种图表和指标,方便用户查看监控数据。Grafana可以与多个开源或商业的数据存储系统进行集成,包括Prometheus,Graphite,Elasticsearch,InfluxDB等。Grafana被广泛应用于各种IT监控场景,如服务器监控、网络监控、应用性能监控等。近日,新华三盾山实验室监测到Grafana官方发布了安全公告,修复了一个存在于Grafana中的身份认证绕过漏洞(CVE-2023-3128),攻击者利用该漏洞可绕过身份认证登录并接管Grafana账户。

1.2 漏洞详情

当使用多租户Azure AD OAuth应用程序配置Azure AD OAauth时,因为配置文件电子邮件字段在Azure AD租户中不是唯一的,未经身份验证的恶意攻击者通过构造恶意请求,成功利用此漏洞可以绕过身份认证登录并接管Grafana账户。

2. 影响范围

Grafana 10.0.x <= 10.0.1

Grafana 9.5.x <= 9.5.5

Grafana 9.4.x <= 9.4.13

Grafana 9.3.x <= 9.3.16

Grafana 9.2.x <= 9.2.20

Grafana 8.5.x <= 8.5.27

3. 严重等级

威胁等级

严重

影响程度

广泛

利用价值

利用难度

中等

漏洞评分

9.4

4. 处置方法

4.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://grafana.com/grafana/download

4.2 临时解决措施

1、在Azure AD配置中添加allowed_groups配置。

2、在Azure AD中注册单租户应用程序。

5. 参考链接

https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/

新华三官网
联系我们