慢雾：Grafana存在账户被接管和认证绕过漏洞

金色财经报道，据慢雾消息，Grafana 发布严重安全提醒，其存在账户被接管和认证绕过漏洞(CVE-2023-3128)，目前 PoC 在互联网上公开，已出现攻击案例。Grafana 是一个跨平台、开源的数据可视化网络应用程序平台，用户配置连接的数据源之后，Grafana 可以在网络浏览器里显示数据图表和警告。Grafana 根据电子邮件的要求来验证 Azure Active Directory 账户。在 Azure AD 上，配置文件的电子邮件字段在 Azure AD 租户之间是不唯一的。当 Azure AD OAuth 与多租户 Azure AD OAuth 应用配置在一起时，这可能会使 Grafana 账户被接管和认证绕过。其中，Grafana >= 6.7.0 受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况，请注意风险，并将 Grafana 升级到最新版本。