プラットフォーム
grafana
コンポーネント
grafana
修正版
12.3.1
CVE-2025-12141 is a security vulnerability in Grafana Alerting that allows users with specific permissions to modify contact points created by others. This manipulation can lead to the extraction of sensitive credentials, such as Slack tokens, from third-party services. The vulnerability impacts Grafana Alerting versions 8.0.0 through 12.3.0, and a fix is available in version 12.3.1.
CVE-2025-12141は、GrafanaのAlertingシステムに影響を与え、ユーザーが連絡先ポイント(具体的には'alert.notifications:write'または'alert.notifications.receivers:test'、基本Editorロールの一部である「Contact Point Writer」ロールを通じて付与される)に対する編集権限を持っている場合、他のユーザーが作成した連絡先ポイントを修正できます。これには、エンドポイントURLを攻撃者が制御するサーバーに変更する機能が含まれます。テスト機能の呼び出しにより、攻撃者は機密設定を傍受および抽出でき、認証情報や機密情報が含まれる可能性があります。この問題の重大性は、機密データの潜在的な暴露と、攻撃者がアラートと通知の整合性を損なう能力にあります。
GrafanaでEditor権限を持つ攻撃者は、この脆弱性を悪用して機密情報にアクセスできます。攻撃者は、自分のサーバーを指すURLを持つ連絡先ポイントを作成できます。次に、テスト機能を使用して、そのサーバーに送信された情報を傍受し、認証情報やAPIキーなどを含めることができます。この攻撃は、攻撃者がGrafanaサーバーに認証する必要がないため、特に危険です。必要な編集権限を持っているだけです。攻撃の複雑さは比較的低く、幅広い攻撃者がアクセスできます。
Organizations using Grafana Alerting with a large number of users who have 'Editor' or 'Contact Point Writer' roles are particularly at risk. Shared hosting environments where multiple users share access to Grafana Alerting instances are also vulnerable, as an attacker could potentially compromise the entire environment through a single user account. Legacy Grafana Alerting deployments that have not been regularly updated are also at increased risk.
• grafana: Examine Grafana Alerting logs for requests to unexpected or suspicious endpoints.
grep 'test_notification_url' /var/log/grafana/alerting.log• linux / server: Monitor system logs for unusual network connections originating from the Grafana Alerting process.
journalctl -u grafana --grep 'test_notification_url'• generic web: Use curl to check for the existence of potentially malicious endpoints.
curl -I https://<grafana_url>/plugin/alerting/contact-points/testdisclosure
patch
エクスプロイト状況
EPSS
0.03% (10% パーセンタイル)
CISA SSVC
CVE-2025-12141の主な軽減策は、Grafanaバージョン12.3.1以降にアップグレードすることです。このバージョンには、連絡先ポイントの不正な変更とテスト中の機密情報の抽出を防ぐ修正が含まれています。さらに、ユーザー権限を確認し、承認されたユーザーのみが連絡先ポイントへの編集アクセスを持っていることを確認してください。最小権限の原則を実装することが重要です。システムアクティビティを不審なアクセスや変更がないか監視することも、潜在的な攻撃を検出し、対応するのに役立ちます。直ちにアップグレードできない場合は、連絡先ポイントのテスト機能へのアクセスを制限することでリスクを軽減できます。
Actualice Grafana a la versión 12.3.1 o posterior para mitigar la vulnerabilidad. Esta actualización corrige el problema al restringir la capacidad de los usuarios para editar los destinos de webhook creados por otros usuarios, previniendo así el acceso no autorizado a configuraciones sensibles.
脆弱性分析と重要アラートをメールでお届けします。
連絡先ポイントは、Grafanaがアラート通知を送信する方法を定義します。宛先(例:Slackサーバー、メールアドレス)と通知を送信するために必要な構成を指定します。
これらは、ユーザーが連絡先ポイントを編集し、連絡先ポイントの構成をテストすることを許可するGrafana権限です。
すぐにアップグレードできない場合は、連絡先ポイントのテスト機能へのアクセスを制限できます。これにより、攻撃者が機密情報を抽出できるリスクが軽減されます。
12.3.1より前のバージョンを使用している場合、インストールは脆弱です。ユーザーインターフェースまたはコマンドラインでGrafanaのバージョンを確認してください。
Grafanaにアクセスできるすべてのユーザーのパスワードをすぐに変更してください。不審な活動がないかシステムログを確認してください。包括的なセキュリティ監査を検討してください。