Risques
- Contournement de la politique de sécurité
- Injection de code indirecte à distance (XSS)
Systèmes affectés
- Grafana version 11.6.0 sans le dernier correctif de sécurité
- Grafana versions 11.2.x antérieures à 11.2.8 sans le dernier correctif de sécurité
- Grafana versions 11.3.x antérieures à 11.3.5 sans le dernier correctif de sécurité
- Grafana versions 11.4.x antérieures à 11.4.3 sans le dernier correctif de sécurité
- Grafana versions 11.5.x antérieures à 11.5.3 sans le dernier correctif de sécurité
- Grafana versions antérieures à 10.4.17 sans le dernier correctif de sécurité
Résumé
De multiples vulnérabilités ont été découvertes dans Grafana. Elles permettent à un attaquant de provoquer une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Grafana cve-2025-3260 du 22 avril 2025 https://grafana.com/blog/2025/04/22/grafana-security-release-medium-and-high-severity-fixes-for-cve-2025-3260-cve-2025-2703-cve-2025-3454/
- Référence CVE CVE-2025-2703 https://www.cve.org/CVERecord?id=CVE-2025-2703
- Référence CVE CVE-2025-3260 https://www.cve.org/CVERecord?id=CVE-2025-3260
- Référence CVE CVE-2025-3454 https://www.cve.org/CVERecord?id=CVE-2025-3454
