Grafana Pyroscope skonfigurowane z backendem Tencent Cloud Object Storage (COS) umożliwia nieuwierzytelnionemu atakującemu odczytanie wartości secret_key z API. Jest to podatność krytyczna, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika, a ujawnienie klucza sekretnego prowadzi do utraty kontroli nad przechowywanymi danymi.
▸ Pokaż oryginał (EN)
Pyroscope is an open-source continuous profiling database. The database supports various storage backends, including Tencent Cloud Object Storage (COS). If the database is configured to use Tencent COS as the storage backend, an attacker could extract the secret_key configuration value from the Pyroscope API. To exploit this vulnerability, an attacker needs direct access to the Pyroscope API. We highly recommend limiting the public internet exposure of all our databases, such that they are only accessible by trusted users or internal systems. This vulnerability is fixed in versions: 1.15.x: 1.15.2 and above. 1.16.x: 1.16.1 and above. 1.17.x: 1.17.0 and above (i.e. all versions). Thanks to Théo Cusnir for reporting this vulnerability to us via our bug bounty program.
Podatność wynika z nieprawidłowych uprawnień dostępu (CWE-732) — wartość secret_key konfiguracji Tencent COS jest eksponowana przez interfejs API Pyroscope bez odpowiednich kontroli dostępu. Atakujący z bezpośrednim dostępem sieciowym do API może wykonać odpowiednie zapytanie i odczytać wrażliwą wartość konfiguracyjną w postaci jawnego tekstu. Exploit nie wymaga uwierzytelnienia ani żadnych uprawnień po stronie atakującego.
Atakujący może pozyskać klucz sekretny (secret_key) do zasobu Tencent COS, co może prowadzić do nieuprawnionego dostępu do danych przechowywanych w chmurze, ich modyfikacji lub eksfiltracji. Skutkuje to wysokim ryzykiem naruszenia poufności i integralności danych.
Należy zaktualizować Grafana Pyroscope do wersji: 1.15.2 lub nowszej (gałąź 1.15.x), 1.16.1 lub nowszej (gałąź 1.16.x), 1.17.0 lub nowszej (gałąź 1.17.x). Dodatkowo producent zaleca ograniczenie ekspozycji API Pyroscope na publiczny internet — dostęp powinien być możliwy wyłącznie dla zaufanych użytkowników lub systemów wewnętrznych.
Grafana Pyroscope w gałęziach: 1.15.x (poniżej 1.15.2), 1.16.x (poniżej 1.16.1) — wyłącznie instancje skonfigurowane z backendem Tencent Cloud Object Storage (COS)
Podatność została zgłoszona przez Théo Cusnir za pośrednictwem programu bug bounty producenta. Dotyczy wyłącznie instancji wykorzystujących Tencent COS jako backend storage.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NGrafana Pyroscope
APPGrafana1.16.0< 1.15.2
Powiązane podatności
Grafana is an open source data visualization platform. In affected versions unauthenticated and authenticated ...
Nieautoryzowany odczyt/zapis plików przez Snowflake datasource w Grafana
RCE w Grafana przez SQL Expressions i plugin Enterprise (CVE-2026-27876)
Grafana Enterprise: privilege escalation przez SCIM provisioning (LPE)
Grafana: command injection i local file inclusion przez SQL Expressions (duckdb)