开源分析和互动可视化应用程序 Grafana 发布了针对一个重要安全漏洞的补丁,该漏洞被追踪为 CVE20233128。根据 BleepingComputer,该漏洞可被利用来劫持使用 Azure Active Directory 进行身份验证的账户。Grafana 指出,该漏洞源于 Azure AD 账户的电子邮件声明验证。
“这可能导致 Grafana 账户被接管和身份验证绕过,尤其是在 Azure AD OAuth 配置为多租户的情况下。如果被利用,攻击者可以完全控制用户的账户,包括访问私有客户数据和敏感信息,”Grafana 在其公告中表示。
为了应对这一安全风险,建议组织将 Grafana 升级至以下版本之一: Grafana 1001 或更高版本 Grafana 955 或更高版本 Grafana 9413 或更高版本 Grafana 9316 或更高版本 Grafana 9220 或更高版本 Grafana 8527 或更高版本
对于无法立即升级的用户,建议在 Azure AD 中执行单租户应用程序注册,并在 Azure AD 设置中创建“allowedgroups”配置,以便进行缓解。
确保您的系统已更新并采取必要的措施以保护您的信息安全。
