Platform
grafana
Component
grafana
Opgelost in
12.3.1
CVE-2025-12141 is een kwetsbaarheid in het Grafana Alerting systeem die het mogelijk maakt voor gebruikers met bewerkingsrechten contactpunten van andere gebruikers te manipuleren. Deze manipulatie kan leiden tot het onderscheppen van gevoelige informatie, zoals authenticatiegegevens voor externe diensten, door de testfunctionaliteit te misbruiken. De kwetsbaarheid treft Grafana Alerting versies 8.0.0 tot en met 12.3.0. Een fix is beschikbaar in versie 12.3.1.
CVE-2025-12141 heeft invloed op het alerting-systeem van Grafana, waardoor gebruikers met bewerkingsrechten op contactpunten (specifiek 'alert.notifications:write' of 'alert.notifications.receivers:test', verleend via de rol 'Contact Point Writer', onderdeel van de basis Editor-rol) contactpunten die door andere gebruikers zijn gemaakt, kunnen wijzigen. Dit omvat de mogelijkheid om de endpoint-URL te wijzigen naar een server die door de aanvaller wordt gecontroleerd. Door de testfunctionaliteit aan te roepen, kan een aanvaller beveiligde instellingen onderscheppen en extraheren, mogelijk inclusief inloggegevens of gevoelige informatie die als beschermd werd beschouwd. De ernst van dit probleem ligt in de potentiële blootstelling van vertrouwelijke gegevens en het vermogen van een aanvaller om de integriteit van waarschuwingen en meldingen te compromitteren.
Een aanvaller met Editor-rechten in Grafana kan deze kwetsbaarheid uitbuiten om toegang te krijgen tot vertrouwelijke informatie. De aanvaller kan een contactpunt maken met een URL die naar zijn eigen server verwijst. Vervolgens kan de aanvaller met behulp van de testfunctionaliteit de informatie onderscheppen die naar die server wordt verzonden, inclusief inloggegevens of API-sleutels. Deze aanval is bijzonder gevaarlijk omdat de aanvaller zich niet hoeft te authenticeren bij de Grafana-server om deze uit te buiten; hij heeft alleen de vereiste bewerkingsrechten nodig. De complexiteit van de aanval is relatief laag, waardoor deze toegankelijk is voor een breed scala aan aanvallers.
Organizations using Grafana Alerting with a large number of users who have 'Editor' or 'Contact Point Writer' roles are particularly at risk. Shared hosting environments where multiple users share access to Grafana Alerting instances are also vulnerable, as an attacker could potentially compromise the entire environment through a single user account. Legacy Grafana Alerting deployments that have not been regularly updated are also at increased risk.
• grafana: Examine Grafana Alerting logs for requests to unexpected or suspicious endpoints.
grep 'test_notification_url' /var/log/grafana/alerting.log• linux / server: Monitor system logs for unusual network connections originating from the Grafana Alerting process.
journalctl -u grafana --grep 'test_notification_url'• generic web: Use curl to check for the existence of potentially malicious endpoints.
curl -I https://<grafana_url>/plugin/alerting/contact-points/testdisclosure
patch
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
De belangrijkste mitigatie voor CVE-2025-12141 is het upgraden naar Grafana versie 12.3.1 of hoger. Deze versie bevat de correctie die ongeautoriseerde wijziging van contactpunten en de extractie van gevoelige informatie tijdens het testen voorkomt. Controleer bovendien de gebruikersrechten, zodat alleen geautoriseerde gebruikers bewerkings toegang hebben tot contactpunten. Het implementeren van het principe van minimale privileges is cruciaal. Het monitoren van systeemactiviteit op verdachte toegang of wijzigingen kan ook helpen bij het detecteren en reageren op potentiële aanvallen. Als een onmiddellijke upgrade niet mogelijk is, kan het beperken van de toegang tot de testfunctionaliteit van contactpunten het risico verminderen.
Actualice Grafana a la versión 12.3.1 o posterior para mitigar la vulnerabilidad. Esta actualización corrige el problema al restringir la capacidad de los usuarios para editar los destinos de webhook creados por otros usuarios, previniendo así el acceso no autorizado a configuraciones sensibles.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een contactpunt definieert hoe Grafana waarschuwingen verzendt. Het specificeert de bestemming (bijv. een Slack-server, een e-mailadres) en de benodigde configuratie om de melding te verzenden.
Dit zijn Grafana-rechten die gebruikers toestaan contactpunten te wijzigen en de configuratie van contactpunten te testen.
Als u niet onmiddellijk kunt upgraden, kunt u de toegang tot de testfunctionaliteit van contactpunten beperken. Dit vermindert het risico dat een aanvaller gevoelige informatie kan extraheren.
Als u een versie gebruikt die vóór 12.3.1 is, is uw installatie kwetsbaar. Controleer de Grafana-versie in de gebruikersinterface of op de opdrachtregel.
Wijzig onmiddellijk de wachtwoorden van alle gebruikers met toegang tot Grafana. Controleer de systeemlogboeken op verdachte activiteiten. Overweeg een uitgebreid beveiligingsaudit uit te voeren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.