CRITICAL🇬🇧 English

CVE-2025-41118

Grafana Pyroscope: ujawnienie klucza sekretnego Tencent COS przez API

CVSS 9.1v3.1pub. 2026-04-15upd. 2026-06-30

Grafana Pyroscope skonfigurowane z backendem Tencent Cloud Object Storage (COS) umożliwia nieuwierzytelnionemu atakującemu odczytanie wartości secret_key z API. Jest to podatność krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika, a ujawnienie klucza sekretnego prowadzi do utraty kontroli nad przechowywanymi danymi.

Pokaż oryginał (EN)

Pyroscope is an open-source continuous profiling database. The database supports various storage backends, including Tencent Cloud Object Storage (COS). If the database is configured to use Tencent COS as the storage backend, an attacker could extract the secret_key configuration value from the Pyroscope API. To exploit this vulnerability, an attacker needs direct access to the Pyroscope API. We highly recommend limiting the public internet exposure of all our databases, such that they are only accessible by trusted users or internal systems. This vulnerability is fixed in versions: 1.15.x: 1.15.2 and above. 1.16.x: 1.16.1 and above. 1.17.x: 1.17.0 and above (i.e. all versions). Thanks to Théo Cusnir for reporting this vulnerability to us via our bug bounty program.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowych uprawnień dostępu (CWE-732) — wartość secret_key konfiguracji Tencent COS jest eksponowana przez interfejs API Pyroscope bez odpowiednich kontroli dostępu. Atakujący z bezpośrednim dostępem sieciowym do API może wykonać odpowiednie zapytanie i odczytać wrażliwą wartość konfiguracyjną w postaci jawnego tekstu. Exploit nie wymaga uwierzytelnienia ani żadnych uprawnień po stronie atakującego.

Skutki

Atakujący może pozyskać klucz sekretny (secret_key) do zasobu Tencent COS, co może prowadzić do nieuprawnionego dostępu do danych przechowywanych w chmurze, ich modyfikacji lub eksfiltracji. Skutkuje to wysokim ryzykiem naruszenia poufności i integralności danych.

Mitygacja

Należy zaktualizować Grafana Pyroscope do wersji: 1.15.2 lub nowszej (gałąź 1.15.x), 1.16.1 lub nowszej (gałąź 1.16.x), 1.17.0 lub nowszej (gałąź 1.17.x). Dodatkowo producent zaleca ograniczenie ekspozycji API Pyroscope na publiczny internet — dostęp powinien być możliwy wyłącznie dla zaufanych użytkowników lub systemów wewnętrznych.

Kogo dotyczy

Grafana Pyroscope w gałęziach: 1.15.x (poniżej 1.15.2), 1.16.x (poniżej 1.16.1) — wyłącznie instancje skonfigurowane z backendem Tencent Cloud Object Storage (COS)

Uwagi

Podatność została zgłoszona przez Théo Cusnir za pośrednictwem programu bug bounty producenta. Dotyczy wyłącznie instancji wykorzystujących Tencent COS jako backend storage.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Grafana Pyroscope

    APP
    Grafana
    1.16.0< 1.15.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2021-39226CRITICAL9.8⚠ KEVten sam vendor

Grafana is an open source data visualization platform. In affected versions unauthenticated and authenticated ...

CVE-2026-28381CRITICAL9.6PL ✓ten sam vendor

Nieautoryzowany odczyt/zapis plików przez Snowflake datasource w Grafana

CVE-2026-27876CRITICAL9.1PL ✓ten sam vendor

RCE w Grafana przez SQL Expressions i plugin Enterprise (CVE-2026-27876)

CVE-2025-41115CRITICAL10.0PL ✓ten sam vendor

Grafana Enterprise: privilege escalation przez SCIM provisioning (LPE)

CVE-2024-9264CRITICAL9.4PL ✓ten sam vendor

Grafana: command injection i local file inclusion przez SQL Expressions (duckdb)

CVE-2025-41118 — Grafana Pyroscope: ujawnienie klucza sekretnego Tencent COS przez API — CRITICAL 9.1 | CVEbaza.pl