Grafana экстренно исправила уязвимости в приложении

Grafana выпустила экстренное обновление для версий 10.0.1, 9.5.5, 9.4.13, 9.3.16, 9.2.20 и 8.5.27. Как пояснили в компании, наряду с другими уязвимостями, патч устраняет CVE-2023-3128, имеющую статус критической. Воспользовавшись ей, злоумышленник мог захватить любой аккаунт Grafana, который использует для аутентификации активную директорию в Azure. Обновлено также облачное решение Grafana Cloud.

Уязвимость CVE-2023-3128 предполагает захват аккаунта через электронную почту, используемую для аутентификации в Azure AD. Это поле не требует ввода уникальной информации, то есть войти в систему можно с нескольких разных электронных адресов. Уязвимость получила оценку 9,4 по CVSS.

В случае эксплойта, злоумышленник мог получить полный доступ к аккаунту пользователя, включая конфиденциальные данные. Под угрозой были все пользователи Azure AD OAuth, использующие вход со множественных электронных адресов и не выполнившие дополнительные настройки уровней доступа.

Пользователей просят оперативно установить обновления. В качестве альтернативного метода защиты от потенциального эксплойта использующие Azure AD OAuth могут настроить возможность входа в аккаунт только для членов конкретной группы в Azure AD.

Grafana — популярная система визуализации данных на основе IT-мониторинга. Для пользователей она доступна в виде веб-приложения.