Origine : bjCSIRT
Numéro : 2025/ALERTE/035
Date de l’alerte : 24/04/2025
APERÇU :
De multiples vulnérabilités découvertes dans Grafana, permettraient à un acteur malveillant d’élever ses privilèges, et d’exécuter du code javascript en contournant la politique CSP.
DESCRIPTION :
Grafana est une application open source utilisée pour la visualisation de données, le monitoring, et la gestion d’alertes.
Cette application est affectée par plusieurs vulnérabilités libellées comme suit :
CVE-2025-3260 : Elle résulte d’une mauvaise gestion des rôles et des permissions au niveau des API de dashboard dans Grafana. L’exploitation de cette vulnérabilité permettrait à un utilisateur disposant de droits de lecture ou d’écriture sur certains tableaux de bord d’exercer ces mêmes droits sur d’autres tableaux sans permissions appropriées.
Cette vulnérabilité est classée élevé avec un score de sévérité de 8.3 selon le score CVSS.
CVE-2025-2703 : Il s’agit d’une vulnérabilité de type DOM XSS affectant le plugin XY Chart. Elle permettrait à un utilisateur disposant de droits d’écriture d’injecter du code javascript dans un panneau XY Chart, contournant ainsi la politique de sécurité CSP pour permettre l’exécution de ce code.
Cette vulnérabilité est classée moyen avec un score de sévérité de 6.8 selon le score CVSS v3.1.
IMPACT :
- Atteinte à la confidentialité ;
- Atteinte à l’intégrité ;
- Exécution de code javascript arbitraire.
SYSTÈMES AFFECTÉS :
- Grafana version 11.6.x ultérieur à 11.6.0 ;
- Grafana version 11.1.x ultérieur à 11.1.0.
MESURES À PRENDRE :
- Appliquer les correctifs de sécurité disponible sur le site de l’éditeur.
RÉFÉRENCES :
