Theo tin tức từ BitouchNews, Theo tin tức của SlowMist, Grafana đã đưa ra một cảnh báo bảo mật nghiêm trọng, có các lỗ hổng chiếm đoạt tài khoản và bỏ qua xác thực (CVE-2023-3128), PoC đã được công khai trên Internet và đã có các trường hợp tấn công.

Grafana là một nền tảng ứng dụng web trực quan hóa dữ liệu mã nguồn mở, đa nền tảng. Sau khi người dùng định cấu hình nguồn dữ liệu được kết nối, Grafana có thể hiển thị biểu đồ dữ liệu và cảnh báo trong trình duyệt web. Grafana xác thực tài khoản Azure Active Directory dựa trên yêu cầu email. Vì trên Azure AD, trường email của hồ sơ không phải là duy nhất trên các đối tượng thuê Azure AD, tài khoản Grafana có thể bị chiếm quyền kiểm soát và bỏ qua xác thực khi Azure AD OAuth được định cấu hình với ứng dụng Azure AD OAuth nhiều đối tượng thuê. Phiên bản bị ảnh hưởng bởi điều này là Grafana >= 6.7.0.

Một số lượng lớn các nền tảng trong ngành công nghiệp tiền điện tử sử dụng giải pháp này để theo dõi hiệu suất của máy chủ. Vui lòng lưu ý các rủi ro và nâng cấp Grafana lên phiên bản mới nhất.