Les utilisateurs doivent configurer les paramètres mis à jour dans les plugins SQLite et Infinity pour se défendre contre les attaquants gagnant des privilèges d’administration sur les instances de Grafana.
Deux défauts critiques désormais réglés dans l’architecture du plugin de Grafana pourraient permettre aux attaquants de prendre le contrôle total de l’instance d’observabilité d’une organisation.
Grafana est une plate-forme d’observabilité DevOps largement utilisée pour visualiser les métriques, les journaux et les traces, et les deux plugins en question, SQLite pour accéder aux données stockées localement et à l’infini pour récupérer les données provenant de sources distantes, étendre ses capacités d’intégration.
Les chercheurs de Cycode ont constaté que les plugins, qui tirent des données de sources locales et externes, pourraient exposer des informations d’identification sensibles et une infrastructure cloud interne.
Aux défauts, une clé de chiffrement par défaut codée en dur dans un plugin et une URL de contournement autorisent la liste dans l’autre, chacune capable d’autoriser l’escalade de privilège à Grafana Admin.
Les défauts ont été signalés aux responsables respectifs – Grafana Labs dans le cas de l’infini – et des correctifs appropriés ont depuis été appliqués, a ajouté Pticha.
L’un a permis le SSRF, l’autre a révélé des clés sensibles
L’un des défauts, CVE-2025-8341, se cachait dans la vérification de la liste d’autorisation d’URL d’URL d’Infinity. En glissant un symbole ‘@’ dans une URL fabriquée, les attaquants pourraient inciter Grafana à envoyer des demandes côté serveur (SSRF) à des points de terminaison internes, tels que les services de métadonnées cloud, ouvrant efficacement un tunnel dans une infrastructure autrement inaccessible.
L’autre défaut a exploité l’accès au système de fichiers du plugin SQLite. Étant donné que Grafana est expédié avec une clé de chiffrement par défaut codé en dur dans son image Docker officielle, toute instance laissée avec cette clé inchangée pourrait être entièrement compromise si un attaquant accédait aux bases de données. En l’occurrence, l’accès est fourni par le plugin SQLite, qui peut se connecter à n’importe quel fichier de base de données SQLite que le processus Grafana peut atteindre, y compris le fichier de base de données de Grafana.
À partir de là, les attaquants pourraient élever leur propre compte vers l’administrateur, tirer des informations d’identification stockées pour les systèmes connectés et se déplacer latéralement dans des environnements plus sensibles sans trébucher.
Les défauts adressés, mais les utilisateurs doivent agir
Les utilisateurs resteront cependant vulnérables si ces paramètres supplémentaires ne sont pas immédiatement configurés. « Il est difficile d’estimer exactement le nombre de déploiements de Grafana utilise la clé de cryptage codée en dur par défaut. Mais d’après notre expérience, lorsqu’une fonctionnalité de sécurité doit être configurée manuellement, il est généralement inchangé », a noté Pticha.
Seul le défaut affectant Infinity a reçu un CVE, tandis que Sqlite, un plugin entretenu dans la communauté, a été fixé par son développeur, Sergej Herbert. « Le mainteneur de plugin SQLite et Grafana Labs étaient très réactifs et excellents pour travailler tout au long du processus de divulgation », a ajouté Pticha.
