Grafana Labs 已针对多个产品版本发布了安全更新,修复了一个高危和两个中危级别的漏洞,这些漏洞影响了Grafana OSS 和 Grafana Enterprise。其中最严重的漏洞是 CVE-2025-3260,通用漏洞评分系统(CVSS)评分为 8.3(高危),该漏洞可能导致未经授权的用户访问和修改仪表盘,即使是权限极低的用户也能做到。
CVE-2025-3260:仪表盘权限绕过
此漏洞自Grafana 11.6.x 版本引入,影响 /apis/dashboard.grafana.app/* 端点,允许具有Viewer 或 Editor 角色的用户在其所在组织内绕过仪表盘级别的权限限制:
1.查看者可以访问所有仪表盘,无论其被分配的访问权限如何。
2.Editor 可以查看、编辑和删除同一组织内的任何仪表盘。
3.当匿名用户被配置为 Viewer 或 Editor 角色时,该漏洞也会对其产生影响。
匿名用户将能够根据其配置的角色查看或修改所有仪表盘。虽然组织边界仍然存在,但公告警告称,使用匿名身份验证的实例特别容易受到攻击。
CVE-2025-2703:XY 图表插件中的 DOM XSS
一名外部研究人员发现,在 Grafana 内置的 XY 图表插件中存在一个中危级别的基于文档对象模型(DOM)的跨站脚本(XSS)漏洞。该漏洞的 CVSS 评分为 6.8,它使得:当具有general.writer基于角色的访问控制(RBAC)权限的Editor或用户向 XY 图表中注入恶意代码时,可执行任意 JavaScript 代码。
Grafana Labs 指出,现有的内容安全策略(CSPs)无法防范此漏洞,但建议启用可信类型(Trusted Types)来减轻基于 DOM 的跨站脚本攻击向量的影响。
第三个漏洞 CVE-2025-3454 是在 Grafana 的数据源代理 API 中发现的另一个中危级别的漏洞(CVSS 评分为 5.0)。它允许:
1.通过在 API 路径中附加一个额外的正斜杠(/),未经授权地读取访问普罗米修斯(Prometheus)和警报管理器(Alertmanager)数据源。
2.该问题影响 Grafana 8.0 及更高版本,具体影响使用基本身份验证和特定路由权限的数据源中的只读路径。
该团队警告称:“ Grafana 用户可能会获得对 GET 端点的未经授权的读取访问权限,尽管他们被分配了相应的角色和权限。”
受影响的版本和补丁
这些漏洞影响以下版本:
1.CVE-2025-3260:≥ Grafana 11.6.0 版本
2.CVE-2025-2703:≥ Grafana 11.1.0 版本
3.CVE-2025-3454:≥ Grafana 8.0 版本
以下版本中提供了补丁:
1.Grafana 11.6.0+security-01
2.Grafana 11.5.3+security-01
3.Grafana 11.4.3+security-01
4.Grafana 11.3.5+security-01
5.Grafana 11.2.8+security-01
6.Grafana 10.4.17+security-01
缓解措施
如果无法立即打补丁,Grafana 建议采取以下临时缓解措施:
1.对于 CVE-2025-3260:阻止发往以下地址的入站流量:
(1)/apis/dashboard.grafana.app/v0alpha1
(2)/apis/dashboard.grafana.app/v1alpha1
(3)/apis/dashboard.grafana.app/v2alpha1
2.对于 CVE-2025-2703:启用可信类型以实施更严格的 DOM 操作策略。
3.对于 CVE-2025-3454:使用反向代理对传入的 URL 进行规范化和清理。
Grafana Labs 敦促所有用户和机构尽快进行更新:“如果您当前正在运行Grafana OSS 或 Grafana Enterprise,请更新到上述安全版本之一,以修复所有漏洞。”
发表评论
您还未登录,请先登录。
登录