(相关资料图)
IT之家 6 月 28 日消息,深度图像识别方案供应商 Grafana 日前发布安全通告,表示旗下 Grafana 环境存在重大漏洞 CVE-2023-3128,黑客可利用该漏洞接管挟持所登录的微软 Azure AD 账号。
▲ 图源 Grafana 官网
据悉,这项漏洞起因是 Grafana 平台使用电子邮件信箱来验证 Azure AD 账号,一旦黑客对此加以利用,就能在采用 Azure AD 的 OAuth 身份验证的 Grafana 环境当中,绕过身份验证并接管 Azure AD 的用户账号。
IT之家注意到,该漏洞 CVSS 风险评分为 9.4,影响 6.7.0 版以上的 Grafana,目前 Grafana 已经对此推出了以下更新版本来解决相关漏洞问题:
8.5.27; 9.2.20; 9.3.16; 9.4.13; 9.5.5; 10.0.1。同时开发团队也为 Grafana Cloud 完成了相关漏洞修复工作。而对于暂时无法安装更新程序的用户,他们也提出缓解措施:
将 allowed_groups 配置添加到 Azure AD 配置,这将确保当用户登录时,他们也是 Azure AD 中组的成员,可令黑客无法使用任意电子邮件地址进行攻击。
X 关闭
2月7日,在北京冬奥会短道速滑男子1000米A...
科技日报合肥2月8日电 (记者吴长锋)8日...
在北京冬奥会自由式滑雪女子大跳台决赛中...
2月8日,当看到中国选手谷爱凌以漂亮的高...
科技日报北京2月8日电 (记者张佳星)记...
人民网北京2月9日电 (记者王连香)记者...
科技日报北京2月8日电 (记者张梦然)据...
科技日报讯 (记者马爱平 通讯员赵鹏跃...
2月2日,海军航空兵某旅组织战备巡逻。刘...
“前方道路遭‘敌’破坏,车辆无法通过。...
Copyright © 2015-2022 华中产业园区网版权所有 备案号:京ICP备12018864号-26 联系邮箱:2 913 236 @qq.com