慢雾:Grafana存在账户被接管和认证绕过漏洞

[慢雾:Grafana存在账户被接管和认证绕过漏洞]金色财经报道,据慢雾消息,Grafana发布严重安全提醒,其存在账户被接管和认证绕过漏洞(CVE-2023-3128),目前PoC在互联网上公开,已出现攻击案例。Grafana是一个跨平台、开源的数据可视化网络应用程序平台,用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告。Grafana根据电子邮件的要求来验证Azure Active Directory账户。在Azure AD上,配置文件的电子邮件字段在Azure AD租户之间是不唯一的。当Azure AD OAuth与多租户Azure AD OAuth应用配置在一起时,这可能会使Grafana账户被接管和认证绕过。其中,Grafana>=6.7.0受到影响。加密货币行业有大量平台采用此方案用来监控服务器性能情况,请注意风险,并将Grafana升级到最新版本。

慢雾:LendHub疑似被攻击损失近600万美金,1100枚ETH已转移到Tornado Cash:金色财经报道,据慢雾区情报,HECO生态跨链借贷平台LendHub疑似被攻击,主要黑客获利地址为0x9d01..ab03。黑客于1月12日从Tornado.Cash接收100ETH后,将部分资金跨链到Heco链展开攻击后获利,后使用多个平台(如TransitSwap、Multichain、Uniswap、Curve和OptimismBridge)跨链或兑换被盗资金。截至目前,黑客已分11笔共转1,100ETH到Tornado.Cash。被攻击的具体原因尚待分析,慢雾安全团队将持续跟进此事件。[2023/1/13 11:10:43]

慢雾:去中心化期权协议Acutus的ACOWriter合约存在外部调用风险:据慢雾区消息,2022年3月29日,Acutus的ACOWriter合约遭受攻击,其中_sellACOTokens函数中外部调用用到的_exchange和exchangeData参数均为外部可控,攻击者可以通过此漏洞进行任意外部调用。目前攻击者利用该手法已经盗取了部分授权过该合约的用户的资产约72.6万美金。慢雾安全团队提醒使用过该合约的用户请迅速取消对该合约的授权以规避资产被盗风险。[2022/3/29 14:25:07]

慢雾:Lendf.Me攻击者刚归还了126,014枚PAX:慢雾安全团队从链上数据监测到,Lendf.Me攻击者(0xa9bf70a420d364e923c74448d9d817d3f2a77822)刚向Lendf.Me平台admin账户(0xa6a6783828ab3e4a9db54302bc01c4ca73f17efb)转账126,014枚PAX,并附言\"Better future\"。随后Lendf.Me平台admin账户通过memo回复攻击者并带上联系邮箱。此外,Lendf.Me攻击者钱包地址收到一些受害用户通过memo求助。[2020/4/20]

郑重声明: 慢雾:Grafana存在账户被接管和认证绕过漏洞版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

  • Deribit将于6月22日提前推出明年6月到期的BTC期货和期权

    [2023-6-21 21:51:53]6月21日消息,加密期权交易平台Deribit表示,将于北京时间6月22日16:00推出2024年6月到期的BTC期货和期权合约,以满足客户的高需求。 Deribit首席商务官Luuk Strijers表示...

  • Voyager两个多小时前开始处理用户提款

    [2023-6-24 21:57:42]6月24日消息,据链上分析师余烬监测,两个多小时前,Voyager开始处理用户提款。自去年7月2日 Voyager停止提币以来,Voyager用户终于能拿回自己的资产,但只有35%。 Tom Wan:自从Vo...

  • 比利时FSMA命令Binance立即停止为该国用户提供服务

    [2023-6-24 21:56:28]金色财经报道,比利时当局加入欧美国家监管机构的行列,对Binance采取行动,命令Binance停止在该国的业务。比利时金融服务和市场管理局(FSMA)表示,Binance在比利时提供来自非欧洲经济区成员国的交易和钱...

  • 共享排序器解决方案Radius完成170万美元融资

    [2023-6-22 21:54:11]6月22日消息,共享排序器解决方案Radius完成170万美元Pre-Seed轮融资,Hashed领投,参投方包括Superscrypt、Lambdaclass和Crypto.com。Radius通过使用实用可验证延...

  • 智能合约平台Flare与Atriv达成合作将引入无代码生成式NFT平台

    [2023-6-24 21:56:39]金色财经报道,智能合约平台Flare官方宣布与人工智能数字艺术平台Atriv达成合作,Atriv将会把无代码生成式NFT平台引入Flare Layer 1网络并推动数字艺术家和收藏家加入Flare社区。据悉Atriv...

  • 慢雾:Grafana存在账户被接管和认证绕过漏洞

    [2023-6-25 21:58:31]金色财经报道,据慢雾消息,Grafana发布严重安全提醒,其存在账户被接管和认证绕过漏洞(CVE-2023-3128),目前PoC在互联网上公开,已出现攻击案例。Grafana是一个跨平台、开源的数据可视化网络应用程...

  • 鲍威尔:让稳定币问题成为美联储的弱点将是一个错误

    [2023-6-22 21:52:59]金色财经报道,美联储主席鲍威尔:我们将稳定币视为一种货币形式,让稳定币问题成为美联储的弱点将是一个错误。 市场消息:公众对于美联储主席鲍威尔的信心降至纪录最低:金色财经报道,据市场消息,公众对于美联储主席鲍威...

  • 贝莱德高管:了解交易对手是谁是让机构参与DeFi的关键

    [2023-6-23 21:55:41]金色财经报道,贝莱德战略合作伙伴关系主管Joseph Chalom在Coinbase和《金融时报》举办的加密货币峰会上表示,开发数字身份基础设施,让交易对手知道自己在与谁进行交易,对于让大型机构参与DeFi至关重要。...

  • 巴西央行将加密交易所Mercado Bitcoin添加到CBDC试点中

    [2023-6-24 21:57:20]金色财经报道,巴西央行周四授权当地最大的加密货币交易所Mercado Bitcoin参与该南美国家央行数字货币(CBDC)的数字真实试点。Mercado Bitcoin领导的财团将万事达卡、经纪商Genial、注册商...

  • 数据:Binance.US的美国加密市场份额降至1.5%,续创年内新低

    [2023-6-21 21:50:57]6月21日消息,Kaiko数据显示,Binance.US占美国加密货币交易所每周总交易量的1.5%,低于年初的8.2%和3月底的22%峰值,Coinbase的市场份额也从2023年初的56.5%降至6月底的51%,而...

  • 欧盟和Meta同意在7月对欧盟在线内容规则实施压力测试

    [2023-6-24 21:57:30]金色财经报道,欧盟产业主管埃里·布雷顿(Thierry Breton)6月24日发布推文称,Meta公司和欧盟已经同意在7月对欧盟的在线内容规则实施压力测试。“与Meta首席执行官马克·扎克伯格在门罗公园就欧盟数字规...

水星链

[0:15ms0-1:402ms