近日，我司监测到Grafana发布的安全公告，修复了两个存在于Grafana中的安全漏洞。

Grafana是Grafana实验室的一套提供可视化监控界面的开源监控工具。该工具主要用于监控和分析Graphite、InfluxDB和Prometheus等。

漏洞详情如下：

• CVE-2022-31107 Grafana OAuth 账号劫持漏洞

漏洞类型：账号劫持

风险等级：高危

漏洞描述：用户配置连接的数据源之后，Grafana可以在网络浏览器里显示数据图表和警告。在Grafana开启了OAuth的情况下，攻击者可能可利用OAuth Provider 的注册功能并最终实现账号劫持。

• CVE-2022-31097 Grafana Alerting 存储型跨站点脚本漏洞

漏洞类型：XSS

风险等级：高危

漏洞描述：攻击者可以通过诱骗经过身份验证的管理员单击链接来将权限从Editor提升到Admin。

影响版本:

• 5.3 <= Grafana <= 9.0.1

安全版本:

• Grafana 9.0.3
• Grafana 8.5.9
• Grafana 8.4.10
• Grafana 8.3.10

修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

• https://grafana.com/grafana/download/9.0.3
• https://grafana.com/grafana/download/8.5.9
• https://grafana.com/grafana/download/8.4.10
• https://grafana.com/grafana/download/8.3.10