Plateforme
grafana
Composant
grafana
Corrigé dans
12.3.1
CVE-2025-12141 is a security vulnerability in Grafana Alerting that allows users with specific permissions to modify contact points created by others. This manipulation can lead to the extraction of sensitive credentials, such as Slack tokens, from third-party services. The vulnerability impacts Grafana Alerting versions 8.0.0 through 12.3.0, and a fix is available in version 12.3.1.
La CVE-2025-12141 affecte le système d'alertes de Grafana, permettant aux utilisateurs disposant de permissions d'édition sur les points de contact (plus précisément 'alert.notifications:write' ou 'alert.notifications.receivers:test', accordées via le rôle 'Contact Point Writer', faisant partie du rôle Éditeur de base) de modifier les points de contact créés par d'autres utilisateurs. Cela inclut la possibilité de modifier l'URL de l'endpoint vers un serveur contrôlé par l'attaquant. En invoquant la fonctionnalité de test, un attaquant peut intercepter et extraire des paramètres sécurisés masqués, potentiellement incluant des identifiants ou des informations sensibles qui étaient considérées comme protégées. La gravité de ce problème réside dans la potentielle exposition de données confidentielles et la capacité d'un attaquant à compromettre l'intégrité des alertes et des notifications.
Un attaquant disposant de permissions Éditeur dans Grafana peut exploiter cette vulnérabilité pour obtenir un accès à des informations confidentielles. L'attaquant pourrait créer un point de contact avec une URL pointant vers son propre serveur. Ensuite, en utilisant la fonctionnalité de test, l'attaquant pourrait capturer les informations envoyées à ce serveur, y compris des identifiants ou des clés d'API. Cette attaque est particulièrement dangereuse car l'attaquant n'a pas besoin de s'authentifier sur le serveur Grafana pour l'exploiter ; il a seulement besoin des permissions d'édition nécessaires. La complexité de l'attaque est relativement faible, ce qui la rend accessible à un large éventail d'attaquants.
Organizations using Grafana Alerting with a large number of users who have 'Editor' or 'Contact Point Writer' roles are particularly at risk. Shared hosting environments where multiple users share access to Grafana Alerting instances are also vulnerable, as an attacker could potentially compromise the entire environment through a single user account. Legacy Grafana Alerting deployments that have not been regularly updated are also at increased risk.
• grafana: Examine Grafana Alerting logs for requests to unexpected or suspicious endpoints.
grep 'test_notification_url' /var/log/grafana/alerting.log• linux / server: Monitor system logs for unusual network connections originating from the Grafana Alerting process.
journalctl -u grafana --grep 'test_notification_url'• generic web: Use curl to check for the existence of potentially malicious endpoints.
curl -I https://<grafana_url>/plugin/alerting/contact-points/testdisclosure
patch
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
La principale mesure d'atténuation pour la CVE-2025-12141 est de mettre à niveau vers Grafana version 12.3.1 ou supérieure. Cette version inclut la correction qui empêche la modification non autorisée des points de contact et l'extraction d'informations sensibles lors des tests. De plus, examinez les permissions des utilisateurs, en vous assurant que seuls les utilisateurs autorisés ont un accès en édition aux points de contact. L'implémentation du principe du moindre privilège est cruciale. Surveiller l'activité du système à la recherche d'accès ou de modifications suspects peut également aider à détecter et à répondre aux attaques potentielles. Si une mise à niveau immédiate n'est pas possible, restreindre l'accès à la fonctionnalité de test des points de contact peut réduire le risque.
Actualice Grafana a la versión 12.3.1 o posterior para mitigar la vulnerabilidad. Esta actualización corrige el problema al restringir la capacidad de los usuarios para editar los destinos de webhook creados por otros usuarios, previniendo así el acceso no autorizado a configuraciones sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un point de contact définit comment Grafana envoie les notifications d'alerte. Il spécifie la destination (par exemple, un serveur Slack, une adresse e-mail) et la configuration nécessaire pour envoyer la notification.
Ce sont des permissions Grafana qui permettent aux utilisateurs de modifier les points de contact et de tester la configuration des points de contact, respectivement.
Si vous ne pouvez pas mettre à niveau immédiatement, vous pouvez restreindre l'accès à la fonctionnalité de test des points de contact. Cela réduit le risque qu'un attaquant puisse extraire des informations sensibles.
Si vous utilisez une version antérieure à 12.3.1, votre installation est vulnérable. Vérifiez la version de Grafana dans l'interface utilisateur ou sur la ligne de commande.
Modifiez immédiatement les mots de passe de tous les utilisateurs ayant accès à Grafana. Examinez les journaux du système à la recherche d'activités suspectes. Envisagez de réaliser un audit de sécurité complet.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.