6 月 28 日消息，圖形圖像識別方案供應商 Grafana 日前發布安全通告，表示旗下 Grafana 環境存在重大漏洞 CVE-2023-3128，黑客可利用該漏洞接管挾持所登錄的微軟 Azure AD 賬號。

據悉，這項漏洞起因是 Grafana 平臺使用電子郵件信箱來驗證 Azure AD 賬號，一旦黑客對此加以利用，就能在采用 Azure AD 的 OAuth 身份驗證的 Grafana 環境當中，繞過身份驗證并接管 Azure AD 的用戶賬號。

注意到，該漏洞 CVSS 風險評分為 9.4，影響 6.7.0 版以上的 Grafana，目前 Grafana 已經對此推出了以下更新版本來解決相關漏洞問題：

• 8.5.27；

• 9.2.20；

• 9.3.16；

• 9.4.13；

• 9.5.5；

• 10.0.1。

同時開發團隊也為 Grafana Cloud 完成了相關漏洞修復工作。而對于暫時無法安裝更新程序的用戶，他們也提出緩解措施：

將 allowed_groups 配置添加到 Azure AD 配置，這將確保當用戶登錄時，他們也是 Azure AD 中組的成員，可令黑客無法使用任意電子郵件地址進行攻擊。

廣告聲明：本文含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節省甄選時間，結果僅供參考。所有文章均包含本聲明。

總結

以上是生活随笔為你收集整理的图形图像识别方案供应商 Grafana 曝出重大漏洞，可挟持微软 Azure AD 账号的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。