CVE-2025-12141 is a security vulnerability in Grafana Alerting that allows users with specific permissions to modify contact points created by others. This manipulation can lead to the extraction of sensitive credentials, such as Slack tokens, from third-party services. The vulnerability impacts Grafana Alerting versions 8.0.0 through 12.3.0, and a fix is available in version 12.3.1.
CVE-2025-12141 影响 Grafana 的警报系统,允许具有联系点编辑权限的用户(具体来说是 'alert.notifications:write' 或 'alert.notifications.receivers:test',通过基本 Editor 角色的“联系点写入器”角色授予)修改其他用户创建的联系点。这包括将端点 URL 修改为攻击者控制的服务器的能力。通过调用测试功能,攻击者可以拦截并提取受保护的设置,可能包括凭据或敏感信息。此问题的严重性在于潜在的机密数据暴露以及攻击者破坏警报和通知完整性的能力。
在 Grafana 中具有 Editor 权限的攻击者可以利用此漏洞来访问机密信息。攻击者可以创建一个指向其自己服务器的 URL 的联系点。然后,使用测试功能,攻击者可以拦截发送到该服务器的信息,包括凭据或 API 密钥。此攻击特别危险,因为攻击者无需对 Grafana 服务器进行身份验证即可利用它;他们只需要必要的编辑权限。攻击的复杂性相对较低,因此各种攻击者都可以访问。
Organizations using Grafana Alerting with a large number of users who have 'Editor' or 'Contact Point Writer' roles are particularly at risk. Shared hosting environments where multiple users share access to Grafana Alerting instances are also vulnerable, as an attacker could potentially compromise the entire environment through a single user account. Legacy Grafana Alerting deployments that have not been regularly updated are also at increased risk.
• grafana: Examine Grafana Alerting logs for requests to unexpected or suspicious endpoints.
grep 'test_notification_url' /var/log/grafana/alerting.log• linux / server: Monitor system logs for unusual network connections originating from the Grafana Alerting process.
journalctl -u grafana --grep 'test_notification_url'• generic web: Use curl to check for the existence of potentially malicious endpoints.
curl -I https://<grafana_url>/plugin/alerting/contact-points/testdisclosure
patch
漏洞利用状态
EPSS
0.03% (10% 百分位)
CISA SSVC
针对 CVE-2025-12141 的主要缓解措施是升级到 Grafana 版本 12.3.1 或更高版本。此版本包含防止未经授权修改联系点以及在测试期间提取敏感信息的修复程序。此外,请审核用户权限,确保只有授权用户才能访问联系点的编辑权限。实施最小权限原则至关重要。监控系统活动以查找可疑访问或修改也有助于检测和响应潜在攻击。如果无法立即升级,则限制联系点测试功能访问可以降低风险。
Actualice Grafana a la versión 12.3.1 o posterior para mitigar la vulnerabilidad. Esta actualización corrige el problema al restringir la capacidad de los usuarios para editar los destinos de webhook creados por otros usuarios, previniendo así el acceso no autorizado a configuraciones sensibles.
漏洞分析和关键警报直接发送到您的邮箱。
联系点定义了 Grafana 如何发送警报通知。它指定了目标(例如,Slack 服务器、电子邮件地址)以及发送通知所需的配置。
这些是 Grafana 权限,允许用户修改联系点和测试联系点的配置。
如果无法立即升级,则可以限制联系点测试功能访问。这降低了攻击者能够提取敏感信息的风险。
如果您使用的是 12.3.1 之前的版本,则您的安装容易受到攻击。请在用户界面或命令行中检查 Grafana 版本。
立即更改对 Grafana 具有访问权限的所有用户的密码。检查系统日志中是否有可疑活动。考虑进行全面的安全审计。