Grafana 中具有创建数据源权限的用户可以 (CRUD) github.com/grafana/grafana 中的所有数据源。

此漏洞的潜在影响是严重的，攻击者可以完全控制 Grafana 环境中的数据源配置。攻击者可以修改或删除关键数据源，导致仪表盘数据不准确、监控功能失效，甚至可能导致系统不可用。攻击者还可以利用此漏洞访问敏感数据，例如数据库连接字符串和 API 密钥，从而进一步扩大攻击范围。虽然该漏洞的 CVSS 评分为中等，但考虑到 Grafana 在许多组织中被广泛使用，且数据源配置通常包含敏感信息，因此该漏洞的实际风险不容忽视。该漏洞的利用方式类似于权限提升攻击，攻击者通过利用现有权限获取更高权限，从而控制整个系统。

Organizations heavily reliant on Grafana for monitoring and data visualization are particularly at risk. This includes those with complex Grafana deployments involving numerous data sources and a large number of users. Shared hosting environments where multiple users share a Grafana instance are also vulnerable, as a compromised user could potentially affect all other users on the system.

• linux / server: Examine Grafana logs for suspicious data source creation attempts by users without sufficient privileges. Use journalctl -u grafana to filter for relevant events. • generic web: Monitor Grafana's access logs for unusual patterns of data source creation or modification requests. Look for requests originating from unexpected IP addresses or user agents. • database (mysql, postgresql): If Grafana connects to a database, monitor the database logs for unauthorized queries or data modifications that could be linked to Grafana's data source configurations.

1. 2024-06-05Disclosure

   disclosure

1. 已保留2024-02-12
2. 发布日期2024-06-05
3. 修改日期2026-02-04
4. EPSS 更新日期2026-04-02

修复此漏洞的首要措施是立即升级 Grafana 至 9.5.7 或更高版本。如果升级会造成系统中断，可以考虑回滚到之前的稳定版本，但应尽快升级到最新版本。此外，建议实施以下缓解措施：限制用户创建数据源的权限，只授予必要的权限；定期审查数据源配置，确保没有不必要的权限；使用 Grafana 的访问控制功能，限制对敏感数据源的访问。对于使用代理或 WAF 的环境，可以配置规则以阻止未经授权的数据源管理操作。升级后，请验证数据源配置是否已恢复正常，并检查 Grafana 日志中是否有异常活动。