प्लेटफ़ॉर्म
grafana
घटक
grafana
में ठीक किया गया
12.3.1
CVE-2025-12141 Grafana Alerting सिस्टम में एक गंभीर भेद्यता है, जहां अधिकृत उपयोगकर्ता अन्य उपयोगकर्ताओं द्वारा बनाए गए संपर्क बिंदुओं को संपादित कर सकते हैं। इस भेद्यता का उपयोग करके, हमलावर संपर्क बिंदु के URL को नियंत्रित सर्वर पर बदल सकते हैं और परीक्षण सुविधा का उपयोग करके गोपनीय सेटिंग्स, जैसे कि तृतीय-पक्ष सेवाओं के लिए प्रमाणीकरण क्रेडेंशियल (उदाहरण के लिए, Slack टोकन) को कैप्चर कर सकते हैं। यह भेद्यता Grafana Alerting के संस्करण 8.0.0 से 12.3.0 तक के संस्करणों को प्रभावित करती है, और संस्करण 12.3.1 में इसका समाधान किया गया है।
CVE-2025-12141 ग्राफना के अलर्टिंग सिस्टम को प्रभावित करता है, जिससे उन उपयोगकर्ताओं को संपर्क बिंदुओं (विशेष रूप से 'alert.notifications:write' या 'alert.notifications.receivers:test', बुनियादी संपादक भूमिका के भाग के रूप में 'संपर्क बिंदु लेखक' भूमिका के माध्यम से प्रदान किए गए) पर संपादन अनुमतियों के साथ अन्य उपयोगकर्ताओं द्वारा बनाए गए संपर्क बिंदुओं को संशोधित करने की अनुमति मिलती है। इसमें हमलावर द्वारा नियंत्रित सर्वर पर एंडपॉइंट URL को बदलने की क्षमता शामिल है। परीक्षण कार्यक्षमता को लागू करके, एक हमलावर संरक्षित सेटिंग्स को रोक सकता है और निकाल सकता है, जिसमें क्रेडेंशियल या संवेदनशील जानकारी शामिल हो सकती है जिसे संरक्षित माना जाता था। इस मुद्दे की गंभीरता गोपनीय डेटा के संभावित जोखिम और हमलावर द्वारा अलर्ट और सूचनाओं की अखंडता से समझौता करने की क्षमता में निहित है।
ग्राफना में संपादक अनुमतियों के साथ एक हमलावर इस भेद्यता का फायदा उठाकर गोपनीय जानकारी तक पहुंच प्राप्त कर सकता है। हमलावर अपने सर्वर की ओर इशारा करते हुए एक URL के साथ एक संपर्क बिंदु बना सकता है। फिर, परीक्षण कार्यक्षमता का उपयोग करके, हमलावर उस सर्वर पर भेजे गए जानकारी को रोक सकता है, जिसमें क्रेडेंशियल या API कुंजियाँ शामिल हैं। यह हमला विशेष रूप से खतरनाक है क्योंकि हमलावर को इसे भुनाने के लिए ग्राफना सर्वर पर प्रमाणित करने की आवश्यकता नहीं है; उन्हें केवल आवश्यक संपादन अनुमतियों की आवश्यकता है। हमले की जटिलता अपेक्षाकृत कम है, जिससे यह विभिन्न प्रकार के हमलावरों के लिए सुलभ हो जाता है।
Organizations using Grafana Alerting with a large number of users who have 'Editor' or 'Contact Point Writer' roles are particularly at risk. Shared hosting environments where multiple users share access to Grafana Alerting instances are also vulnerable, as an attacker could potentially compromise the entire environment through a single user account. Legacy Grafana Alerting deployments that have not been regularly updated are also at increased risk.
• grafana: Examine Grafana Alerting logs for requests to unexpected or suspicious endpoints.
grep 'test_notification_url' /var/log/grafana/alerting.log• linux / server: Monitor system logs for unusual network connections originating from the Grafana Alerting process.
journalctl -u grafana --grep 'test_notification_url'• generic web: Use curl to check for the existence of potentially malicious endpoints.
curl -I https://<grafana_url>/plugin/alerting/contact-points/testdisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVE-2025-12141 के लिए प्राथमिक शमन ग्राफना संस्करण 12.3.1 या उच्चतर में अपग्रेड करना है। इस संस्करण में वह फिक्स शामिल है जो संपर्क बिंदुओं के अनधिकृत संशोधन और परीक्षण के दौरान संवेदनशील जानकारी के निष्कर्षण को रोकता है। इसके अलावा, उपयोगकर्ता अनुमतियों की समीक्षा करें ताकि यह सुनिश्चित हो सके कि केवल अधिकृत उपयोगकर्ताओं के पास संपर्क बिंदुओं पर संपादन पहुंच है। न्यूनतम विशेषाधिकार के सिद्धांत को लागू करना महत्वपूर्ण है। सिस्टम गतिविधि की निगरानी संदिग्ध पहुंच या संशोधनों के लिए भी संभावित हमलों का पता लगाने और प्रतिक्रिया करने में मदद कर सकती है। यदि तत्काल अपग्रेड संभव नहीं है, तो संपर्क बिंदुओं की परीक्षण कार्यक्षमता तक पहुंच को प्रतिबंधित करने से जोखिम कम हो सकता है।
Actualice Grafana a la versión 12.3.1 o posterior para mitigar la vulnerabilidad. Esta actualización corrige el problema al restringir la capacidad de los usuarios para editar los destinos de webhook creados por otros usuarios, previniendo así el acceso no autorizado a configuraciones sensibles.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
एक संपर्क बिंदु परिभाषित करता है कि ग्राफना अलर्ट सूचनाओं को कैसे भेजता है। यह गंतव्य (जैसे, एक स्लैक सर्वर, एक ईमेल पता) और सूचना भेजने के लिए आवश्यक कॉन्फ़िगरेशन निर्दिष्ट करता है।
ये ग्राफना अनुमतियाँ हैं जो उपयोगकर्ताओं को संपर्क बिंदुओं को संशोधित करने और संपर्क बिंदुओं के कॉन्फ़िगरेशन का परीक्षण करने की अनुमति देती हैं।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो आप संपर्क बिंदुओं की परीक्षण कार्यक्षमता तक पहुंच को प्रतिबंधित कर सकते हैं। यह एक हमलावर द्वारा संवेदनशील जानकारी निकालने के जोखिम को कम करता है।
यदि आप 12.3.1 से पहले का संस्करण उपयोग कर रहे हैं, तो आपका इंस्टॉलेशन कमजोर है। उपयोगकर्ता इंटरफ़ेस या कमांड लाइन पर ग्राफना संस्करण की जांच करें।
ग्राफना तक पहुंच वाले सभी उपयोगकर्ताओं के पासवर्ड तुरंत बदल दें। संदिग्ध गतिविधि के लिए सिस्टम लॉग की जांच करें। व्यापक सुरक्षा ऑडिट पर विचार करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।