Plataforma
grafana
Componente
grafana
Corrigido em
12.3.1
Uma vulnerabilidade de segurança foi identificada no Grafana Alerting, afetando versões entre 8.0.0 e 12.3.0. Usuários com permissões de edição em contact points podem modificar o URL do endpoint, permitindo a captura de credenciais de serviços de terceiros durante o teste de notificações. Essa falha pode levar ao acesso não autorizado a sistemas e dados sensíveis.
A CVE-2025-12141 afeta o sistema de alertas do Grafana, permitindo que usuários com permissões de edição em pontos de contato (especificamente 'alert.notifications:write' ou 'alert.notifications.receivers:test', concedidas através do papel 'Contact Point Writer', parte do papel Editor básico) modifiquem pontos de contato criados por outros usuários. Isso inclui a capacidade de alterar a URL do endpoint para um servidor controlado pelo atacante. Ao invocar a funcionalidade de teste, um atacante pode interceptar e extrair configurações seguras, potencialmente incluindo credenciais ou informações sensíveis que eram consideradas protegidas. A gravidade deste problema reside na potencial exposição de dados confidenciais e na capacidade de um atacante comprometer a integridade dos alertas e notificações.
Um atacante com permissões de Editor no Grafana pode explorar esta vulnerabilidade para obter acesso a informações confidenciais. O atacante poderia criar um ponto de contato com uma URL apontando para seu próprio servidor. Em seguida, usando a funcionalidade de teste, o atacante poderia capturar as informações enviadas para esse servidor, incluindo credenciais ou chaves de API. Este ataque é particularmente perigoso porque o atacante não precisa se autenticar no servidor Grafana para explorá-lo; ele só precisa ter as permissões de edição necessárias. A complexidade do ataque é relativamente baixa, tornando-o acessível a uma ampla gama de atacantes.
Organizations using Grafana Alerting with a large number of users who have 'Editor' or 'Contact Point Writer' roles are particularly at risk. Shared hosting environments where multiple users share access to Grafana Alerting instances are also vulnerable, as an attacker could potentially compromise the entire environment through a single user account. Legacy Grafana Alerting deployments that have not been regularly updated are also at increased risk.
• grafana: Examine Grafana Alerting logs for requests to unexpected or suspicious endpoints.
grep 'test_notification_url' /var/log/grafana/alerting.log• linux / server: Monitor system logs for unusual network connections originating from the Grafana Alerting process.
journalctl -u grafana --grep 'test_notification_url'• generic web: Use curl to check for the existence of potentially malicious endpoints.
curl -I https://<grafana_url>/plugin/alerting/contact-points/testdisclosure
patch
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
A principal mitigação para a CVE-2025-12141 é atualizar para o Grafana versão 12.3.1 ou superior. Esta versão inclui a correção que impede a modificação não autorizada de pontos de contato e a extração de informações sensíveis durante os testes. Além disso, revise as permissões dos usuários, garantindo que apenas usuários autorizados tenham acesso de edição aos pontos de contato. Implementar o princípio do menor privilégio é crucial. Monitorar a atividade do sistema em busca de acessos ou modificações suspeitas também pode ajudar a detectar e responder a possíveis ataques. Se não for possível atualizar imediatamente, restringir o acesso à funcionalidade de teste dos pontos de contato pode reduzir o risco.
Actualice Grafana a la versión 12.3.1 o posterior para mitigar la vulnerabilidad. Esta actualización corrige el problema al restringir la capacidad de los usuarios para editar los destinos de webhook creados por otros usuarios, previniendo así el acceso no autorizado a configuraciones sensibles.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um ponto de contato define como o Grafana envia notificações de alerta. Ele especifica o destino (por exemplo, um servidor Slack, um endereço de e-mail) e a configuração necessária para enviar a notificação.
Estas são permissões do Grafana que permitem aos usuários editar pontos de contato e testar a configuração dos pontos de contato, respectivamente.
Se você não puder atualizar imediatamente, pode restringir o acesso à funcionalidade de teste dos pontos de contato. Isso reduz o risco de um atacante ser capaz de extrair informações confidenciais.
Se você estiver usando uma versão anterior à 12.3.1, sua instalação é vulnerável. Verifique a versão do Grafana na interface do usuário ou na linha de comando.
Altere imediatamente as senhas de todos os usuários com acesso ao Grafana. Revise os logs do sistema em busca de atividades suspeitas. Considere realizar uma auditoria de segurança abrangente.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.