99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

漏洞描述

2023年6月28日公司監(jiān)測(cè)到微步官方發(fā)布的安全漏洞，Grafana是一個(gè)流行的開源數(shù)據(jù)可視化和監(jiān)控平臺(tái)，它可以將來自多種數(shù)據(jù)源的數(shù)據(jù)轉(zhuǎn)化為圖表和面板，并提供實(shí)時(shí)的數(shù)據(jù)分析和可視化，當(dāng)Grafana配置允許通過Azure AD OAauth登錄、且Azure AD配置了多租戶、且未配置allowed_groups的條件下，未授權(quán)的攻擊者可以利用此漏洞繞過身份認(rèn)證，完全接管同一Azure AD下的其他Grafana 賬戶。經(jīng)過分析與研判，該漏洞在攻擊者視角下的利用場(chǎng)景屬于越權(quán)，可直接接管管理員賬號(hào)，由于前置條件苛刻，利用可能較低，如在影響范圍內(nèi)，建議持續(xù)關(guān)注，可延后修復(fù)。

漏洞編號(hào)

XVE-2023-17688

漏洞危害

該漏洞存在于Grafana中，是一個(gè)身份認(rèn)證繞過漏洞。 由于Grafana和 Azure AD 租戶對(duì)于電子郵件地址的處理存在差異，未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者可以構(gòu)造惡意請(qǐng)求利用該漏洞，成功利用此漏洞可以繞過身份認(rèn)證接管Grafana 賬戶。

漏洞等級(jí)

中危
受影響版本

10.0 <= version < 10.0.1

9.5.0 <= version < 9.5.5

9.4.0 <= version < 9.4.13

9.3.0 <= version < 9.3.16

9.2 <= version < 9.2.20

8.5 <= version < 8.5.27

修復(fù)方案

官方已發(fā)布新版本修復(fù)上述漏洞，受影響用戶可升級(jí)到安全版本

鏈接如下：

https://grafana.com/grafana/download

參考鏈接

https://grafana.com/grafana/download