一、漏洞详情

Grafana是一款用Go语言开发的开源数据可视化工具，可以做数据监控和数据统计,并带有告警功能。

近日，监测到Grafana中修复了一个身份认证绕过漏洞（CVE-2023-3128），Grafana根据电子邮件声明验证Azure Active Directory帐户，但在Azure AD上，配置文件电子邮件字段在Azure AD租户中并不唯一。威胁者可以创建一个与目标Grafana 账户相同的电子邮件地址的恶意帐户，利用该漏洞绕过身份验证接管目标用户的Grafana账户，从而访问敏感信息。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Grafana版本：>= 6.7.0

三、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Grafana 10.0.x 版本：10.0.1

Grafana 9.5.x 版本：9.5.5

Grafana 9.4.x 版本：9.4.13

Grafana 9.3.x 版本：9.3.16

Grafana 9.2.x 版本：9.2.20

Grafana 8.5.x 版本：8.5.27