慢雾:Grafana存在账户被接管和认证绕过漏洞

2023-06-25 11:06:31

金色财经报道,据慢雾消息,Grafana 发布严重安全提醒,其存在账户被接管和认证绕过漏洞(CVE-2023-3128),目前 PoC 在互联网上公开,已出现攻击案例。Grafana 是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana 可以在网络浏览器里显示数据图表和警告。Grafana 根据电子邮件的要求来验证 Azure Active Directory 账户。在 Azure AD 上,配置文件的电子邮件字段在 Azure AD 租户之间是不唯一的。当 Azure AD OAuth 与多租户 Azure AD OAuth 应用配置在一起时,这可能会使 Grafana 账户被接管和认证绕过。其中,Grafana >= 6.7.0 受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况,请注意风险,并将 Grafana 升级到最新版本。
211COIN发布此信息目的在于传播更多信息,与本网站立场无关,文章内容仅供参考,不代表任何确定性判断,且不构成投资建议,请谨慎对待,风险自担。
相关快讯
11:55
慢雾安全:旧版本的Clorio Wallet存在安全漏洞
据慢雾区消息,受 Mina JavaScript client-sdk v1.0.1 之前版本的弱熵问题影响,目前社区已有多人反馈钱包私钥被窃取,慢雾安全团队经过调查发现:使用 Clorio Wallet v0.1.1,Clorio Wallet v0.1.0 版本创建的钱包将存在被盗风险。 建议有使用 Clorio Wallet v0.1.1,Clorio Wallet v0.1.0(2021 年 5 月 28 日)创建钱包的用户确保将钱包更新到最新版本(Clorio Wallet v1.0.0),并且重新创建新的钱包地址,将资金转移到新创建的钱包地址上以保证资产安全。 存在漏洞的钱包版本:Clorio Wallet < v0.1.2 存在漏洞的 client-sdk 版本:o1labs/client-sdk < 1.0.1。
13:12
慢雾余弦:铭文问题被分配CVE编号意味着定性为漏洞
金色财经报道,慢雾创始人余弦在社交媒体上发文称,铭文这个问题被分配了个CVE编号,这是釜底抽薪了,态度鲜明地定性漏洞了:CVE 编号不是什么新鲜事,许多安全团队/个人都可以申请,CVE 编号在安全行业是最知名的漏洞证明之一。
11:52
慢雾首席信息安全官:如果数据库被入侵,黑客也可以接管用户GA
金色财经报道,慢雾科技首席信息安全官23pds针对OKX首席执行官的回应表示,黑客盗取用户GA的方法还有一种,因为GA秘密密钥是存在数据库的,如果数据库被入侵,也会导致秘密密钥被盗,也可以接管用户GA。 此前消息,OKX首席执行官:OKX目前没有任何一起用户资损案例是通过GA切换到SMS完成的。
10:58
慢雾余弦:Twitter漏洞需要警惕
金色财经报道,慢雾创始人余弦在社交媒体上表示,Twitter这个严重漏洞看起来很严重,需要警惕,你如果点击了黑客准备的链接,黑客就能完全访问你的Twitter账户,可以发推、转发、点赞、屏蔽等等,但无法更改用户密码。 看上去类似CSRF这类问题,也许还结合了OAuth2认证授权。目前没任何细节,等官方修复,等后续披露。
15:25
慢雾CISO:Telegram官方一个拼写错误导致另一文件格式绕过执行漏洞
4月12日消息,慢雾首席信息安全官(CISO) 23pds 在 X 平台发文表示,Telegram 官方一个拼写错误,导致的另一个文件格式绕过执行漏洞。请用户注意更新、注意安全。
17:28
慢雾:跨链聚合器PLEXUS疑似被攻击
4月20日消息,慢雾发布提醒称,跨链聚合器 PLEXUS 合约疑似被攻击。
Copyright © 2018-2022 211COIN版权所有.