漏洞描述

2023年6月28日公司监测到微步官方发布的安全漏洞，Grafana是一个流行的开源数据可视化和监控平台，它可以将来自多种数据源的数据转化为图表和面板，并提供实时的数据分析和可视化，当Grafana配置允许通过Azure AD OAauth登录、且Azure AD配置了多租户、且未配置allowed_groups的条件下，未授权的攻击者可以利用此漏洞绕过身份认证，完全接管同一Azure AD下的其他Grafana 账户。经过分析与研判，该漏洞在攻击者视角下的利用场景属于越权，可直接接管管理员账号，由于前置条件苛刻，利用可能较低，如在影响范围内，建议持续关注，可延后修复。

漏洞编号

XVE-2023-17688

漏洞危害

该漏洞存在于Grafana中，是一个身份认证绕过漏洞。 由于Grafana和 Azure AD 租户对于电子邮件地址的处理存在差异，未经身份认证的远程攻击者可以构造恶意请求利用该漏洞，成功利用此漏洞可以绕过身份认证接管Grafana 账户。

漏洞等级

中危
受影响版本

10.0 <= version < 10.0.1

9.5.0 <= version < 9.5.5

9.4.0 <= version < 9.4.13

9.3.0 <= version < 9.3.16

9.2 <= version < 9.2.20

8.5 <= version < 8.5.27

修复方案

官方已发布新版本修复上述漏洞，受影响用户可升级到安全版本

链接如下：

https://grafana.com/grafana/download

参考链接

https://grafana.com/grafana/download