Grafana Labs 发布了一轮安全补丁,以解决 CVE-2025-3415,这是一个中危漏洞 (CVSS 4.3),可能在 Grafana Alerting 中暴露敏感配置数据,特别是 DingDing 联系点。
“Grafana Labs 在公告中披露,由于设置疏忽,发生了一起 DingDing 告警集成 URL 意外暴露给查看者的情况 。”
该漏洞影响 Grafana 12.0.1 及以下版本,是由配置错误的访问控制引入的,这使得具有 Viewer 级别权限的用户可以以纯文本形式访问告警 URL。
当 Grafana Alerting 配置 DingDing 作为联系点时,webhook URL 存储在配置中,通常包含敏感信息或 API 密钥。
由于 CVE-2025-3415 中描述的缺陷,任何在 Grafana 界面中具有 Viewer 级别权限的用户都可以:
-
查看完整的 webhook URL -
复制 URL 中嵌入的 DingDing token 或 API key -
可能通过 DingDing 集成发送伪造或恶意警报
Grafana Labs 确认:“Grafana Alerting 中配置的 DingDing 联络点可以纯文本形式暴露给具有 Viewer 权限的 Grafana 用户 。”
Grafana Labs 已经发布了修补版本,完全缓解了此漏洞。建议用户升级到相应的安全补丁级别:
-
Grafana 12.0.1+security-01 -
Grafana 11.6.2+security-01 -
Grafana 11.5.5+security-01 -
Grafana 11.4.5+security-01 -
Grafana 11.3.7+security-01 -
Grafana 11.2.10+security-01 -
Grafana 10.4.19+security-01
作为临时解决方案,管理员可以:
-
移除或禁用dingding联系点配置 -
撤销受损的dingding API 令牌 -
在部署补丁程序之前限制 Viewer 权限
原文始发于微信公众号(独眼情报):(CVE-2025-3415) 暴露Grafana Alerting中的DingDing API 密钥
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论