Grafana Vulnerability, DingDing CVE-2023-3128

前言

Grafana Labs 发布了一轮安全补丁,以解决 CVE-2025-3415,这是一个中危漏洞 (CVSS 4.3),可能在 Grafana Alerting 中暴露敏感配置数据,特别是 DingDing 联系点。

“Grafana Labs 在公告中披露,由于设置疏忽,发生了一起 DingDing 告警集成 URL 意外暴露给查看者的情况 。”

该漏洞影响 Grafana 12.0.1 及以下版本,是由配置错误的访问控制引入的,这使得具有 Viewer 级别权限的用户可以以纯文本形式访问告警 URL。

当 Grafana Alerting 配置 DingDing 作为联系点时,webhook URL 存储在配置中,通常包含敏感信息或 API 密钥。

由于 CVE-2025-3415 中描述的缺陷,任何在 Grafana 界面中具有 Viewer 级别权限的用户都可以:

  • 查看完整的 webhook URL

  • 复制 URL 中嵌入的 DingDing token 或 API key

  • 可能通过 DingDing 集成发送伪造或恶意警报

Grafana Labs 确认:“Grafana Alerting 中配置的 DingDing 联络点可以纯文本形式暴露给具有 Viewer 权限的 Grafana 用户 。”

Grafana Labs 已经发布了修补版本,完全缓解了此漏洞。建议用户升级到相应的安全补丁级别:

  • Grafana 12.0.1+security-01

  • Grafana 11.6.2+security-01

  • Grafana 11.5.5+security-01

  • Grafana 11.4.5+security-01

  • Grafana 11.3.7+security-01

  • Grafana 11.2.10+security-01

  • Grafana 10.4.19+security-01

作为临时解决方案,管理员可以:

  • 移除或禁用dingding联系点配置

  • 撤销受损的dingding API 令牌

  • 在部署补丁程序之前限制 Viewer 权限

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。