研究人员警告说，由于其OAuth登录功能存在漏洞，恶意行为者可能会接管Grafana中的管理员帐户。该安全漏洞被跟踪为CVE-2022-31107，可能允许攻击者访问开源分析平台上的另一个用户帐户。由HTTPVoid的一组研究人员发现，该漏洞位于平台的登录功能中，“为攻击者打开了大门，通过对运行易受攻击的开源平台版本的系统上的管理员进行跨域攻击来提升他们的权限”。因此，攻击者可能会获得对管理员帐户的访问权限。

OAuth登录是一种身份验证协议，允许用户在不泄露密码的情况下批准一个应用程序代表他们与另一个应用程序交互，例如使用用户的Facebook帐户登录另一个应用程序。

攻击确实需要一些先决条件，例如攻击者必须有权通过配置的OAuth IdP登录到Grafana实例，该OAuth IdP提供登录名以接管该Grafana实例中另一个用户的帐户。

这可能在以下情况下发生：

• 恶意用户被授权通过 OAuth 登录 Grafana
• 恶意用户的外部用户 ID 尚未与 Grafana 中的帐户关联
• 恶意用户的电子邮件地址尚未与 Grafana 中的帐户关联
• 并且恶意用户知道目标用户的Grafana用户名

“如果满足这些条件，恶意用户可以将他们在OAuth提供程序中的用户名设置为目标用户的用户名，然后通过OAuth流程登录Grafana，”一份漏洞报告中写道。

“由于登录时外部和内部用户帐户链接在一起的方式，如果以上条件都满足，那么恶意用户将能够登录到目标用户的Grafana帐户。”

研究团队成员Harsh Jaiswal在采访时说：“这是在审核Grafana的源代码时发现的，这一发现本身并不难，但达到代码流肯定需要一些时间。

“开发取决于配置。我会说这是中等难度。”

Jaiswal表示，披露过程是积极的，并补充说Grafana团队“分流迅速，整体过程顺利”。

研究人员警告说：“根据配置，利用此漏洞可能会导致身份验证绕过或权限升级。”

Grafana已在9.0.3、8.5.9、8.4.10和8.3.10版本中修补了该漏洞，该漏洞存在于5.3至9.0.3、8.5.9、8.4.10和8.3.10版本中.

“作为一种解决方法，相关用户可以禁用OAuth登录到他们的Grafana实例，或者确保所有被授权通过OAuth登录的用户在Grafana中都有一个与其电子邮件地址相关联的相应用户帐户，”漏洞报告补充道。