漏洞描述
2023年6月28日公司监测到微步官方发布的安全漏洞,Grafana是一个流行的开源数据可视化和监控平台,它可以将来自多种数据源的数据转化为图表和面板,并提供实时的数据分析和可视化,当Grafana配置允许通过Azure AD OAauth登录、且Azure AD配置了多租户、且未配置allowed_groups的条件下,未授权的攻击者可以利用此漏洞绕过身份认证,完全接管同一Azure AD下的其他Grafana 账户。经过分析与研判,该漏洞在攻击者视角下的利用场景属于越权,可直接接管管理员账号,由于前置条件苛刻,利用可能较低,如在影响范围内,建议持续关注,可延后修复。
漏洞编号
XVE-2023-17688
漏洞危害
该漏洞存在于Grafana中,是一个身份认证绕过漏洞。 由于Grafana和 Azure AD 租户对于电子邮件地址的处理存在差异,未经身份认证的远程攻击者可以构造恶意请求利用该漏洞,成功利用此漏洞可以绕过身份认证接管Grafana 账户。
漏洞等级
中危
受影响版本
10.0 <= version < 10.0.1
9.5.0 <= version < 9.5.5
9.4.0 <= version < 9.4.13
9.3.0 <= version < 9.3.16
9.2 <= version < 9.2.20
8.5 <= version < 8.5.27
修复方案
官方已发布新版本修复上述漏洞,受影响用户可升级到安全版本
链接如下:
https://grafana.com/grafana/download
参考链接
https://grafana.com/grafana/download