YPS行业门户系统 6 月 28 日消息，图形图像识别方案供应商 Grafana 日前发布安全通告，表示旗下 Grafana 环境存在重大漏洞 CVE-2023-3128，黑客可利用该漏洞接管挟持所登录的微软 Azure AD 账号。

　　▲ 图源 Grafana 官网

　　据悉，这项漏洞起因是 Grafana 平台使用电子邮件信箱来验证 Azure AD 账号，一旦黑客对此加以利用，就能在采用 Azure AD 的 OAuth 身份验证的 Grafana 环境当中，绕过身份验证并接管 Azure AD 的用户账号。

　　YPS行业门户系统注意到，该漏洞 CVSS 风险评分为 9.4，影响 6.7.0 版以上的 Grafana，目前 Grafana 已经对此推出了以下更新版本来解决相关漏洞问题：

　　8.5.27；

　　9.2.20；

　　9.3.16；

　　9.4.13；

　　9.5.5；

　　10.0.1。

　　同时开发团队也为 Grafana Cloud 完成了相关漏洞修复工作。而对于暂时无法安装更新程序的用户，他们也提出缓解措施：

　　将 allowed_groups 配置添加到 Azure AD 配置，这将确保当用户登录时，他们也是 Azure AD 中组的成员，可令黑客无法使用任意电子邮件地址进行攻击。

　　广告声明：本文含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考。YPS行业门户系统所有文章均包含本声明。