发布日期：2025-04-02
更新日期：2025-06-17

受影响系统：

Grafana Tempo operator

描述：

---

CVE(CAN) ID: CVE-2025-2842

Grafana Tempo Operator是Grafana开源的一个Grafana Tempo Kubernetes操作程序。
Grafana Tempo Operator存在信息泄露漏洞，当Jaeger UI Monitor Tab功能在由Tempo Operator管理的Tempo实例中启用时，Operator会为Tempo实例的服务帐户创建一个ClusterRoleBinding，并授予它cluster-monitoring-view角色，如果用户有权在特定命名空间中创建TempoStack并将Secret用作get权限，则攻击者可利用该漏洞读取Tempo服务帐户的令牌，通过访问该令牌，用户可以查看集群的所有指标数据。

<**>

建议：

---

厂商补丁：

Grafana
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/grafana/tempo-operator/releases

浏览次数：40
严重程度：0（网友投票）