北京赛克艾威科技有限公司 2023-06-26
该漏洞存在于Grafana中,是一个身份认证绕过漏洞。由于Grafana和 Azure AD 租户对于电子邮件地址的处理存在差异,未经身份认证的远程攻击者可以构造恶意请求利用该漏洞,成功利用此漏洞可以绕过身份认证接管Grafana 账户。
fofa:app="Grafana"
Grafana 10.0.x < 10.0.1
Grafana 9.5.x < 9.5.5
Grafana 9.4.x < 9.4.13
Grafana 9.3.x <9.3.16
Grafana 9.2.x < 9.2.20
Grafana 8.5.x < 8.5.27
成功利用此漏洞可以绕过身份认证接管Grafana 账户。
根据影响版本中的信息,排查并升级版本至10.0.1、9.5.5、9.4.13、9.3.16、9.2.20 或 8.5.27及以上:
https://grafana.com/grafana/download