Все бюллетени/c10f2/ALT-PU-2025-10491-6
ALT-PU-2025-10491-6

Обновление пакета grafana в ветке c10f2

Версия12.1.0-alt2
Задание#392515
Опубликовано2026-07-02
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (30)

BDU:2025-06002
HIGH7.2

Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с ошибками разграничения доступа, позволяющая нарушителю нарушить работу программы

Опубликовано: 2025-05-25Изменено: 2025-06-23
CVSS 3.xВЫСОКАЯ 7.2
CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
BDU:2025-06809
HIGH7.6

Уязвимость компонента Custom Frontend Plugin платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS)

Опубликовано: 2025-06-15Изменено: 2026-05-31
CVSS 3.xВЫСОКАЯ 7.6
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:P/A:P
BDU:2025-08873
MEDIUM4.3

Уязвимость службы оповещения Alerts & IRM платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю раскрыть защищаемую информацию

Опубликовано: 2025-07-22Изменено: 2025-07-31
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0СРЕДНЯЯ 4.0
CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N
BDU:2025-08910
HIGH7.6

Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS)

Опубликовано: 2025-07-22Изменено: 2025-07-31
CVSS 3.xВЫСОКАЯ 7.6
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:P/A:P
BDU:2025-09887
MEDIUM4.2

Уязвимость компонента OSS Organization Switching платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю перенаправить пользователя на произвольный сайт

Опубликовано: 2025-08-17
CVSS 3.xСРЕДНЯЯ 4.2
CVSS:3.x/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N
CVSS 2.0СРЕДНЯЯ 4.0
CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:P/A:N
BDU:2026-04159
CRITICAL9.1

Уязвимость функции SQL Expressions платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю выполнить произвольный код и получить несанкционированный доступ к платформе

Опубликовано: 2026-03-29Изменено: 2026-06-18
CVSS 3.xКРИТИЧЕСКАЯ 9.1
CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
BDU:2026-07034
HIGH7.1

Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с перезаписью списков контроля доступа, позволяющая нарушителю повысить свои привилегии

Опубликовано: 2026-05-18
CVSS 3.xВЫСОКАЯ 7.1
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
CVSS 2.0ВЫСОКАЯ 7.5
CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:C/A:N
BDU:2026-07035
MEDIUM4.3

Уязвимость интерфейса Annotations API платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю получить доступ на чтение, изменение или удаление данных

Опубликовано: 2026-05-18
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVSS 2.0СРЕДНЯЯ 4.0
CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:P/A:N
BDU:2026-07036
MEDIUM6.5

Уязвимость плагина платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2026-05-18
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0СРЕДНЯЯ 6.8
CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:N/A:C
BDU:2026-07038
MEDIUM6.5

Уязвимость системы обмена сообщениями в режиме реального времени Grafana Live платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2026-05-18
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0СРЕДНЯЯ 6.8
CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:N/A:C
BDU:2026-07039
MEDIUM6.5

Уязвимость интерфейса Snapshot API платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю получить доступ на чтение и удаление данных

Опубликовано: 2026-05-18
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
CVSS 2.0СРЕДНЯЯ 6.8
CVSS:2.0/AV:N/AC:L/Au:S/C:N/I:C/A:N
BDU:2026-07040
HIGH7.4

Уязвимость функции Auth Proxy платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю обойти ограничения безопасности

Опубликовано: 2026-05-18
CVSS 3.xВЫСОКАЯ 7.4
CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
CVSS 2.0ВЫСОКАЯ 7.1
CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:C/A:N
BDU:2026-08993
HIGH7.5

Уязвимость функции OpenFeature платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2026-06-30
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS 2.0ВЫСОКАЯ 7.8
CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C
CVE-2025-3415
MEDIUM4.3

Grafana is an open-source platform for monitoring and observability. The Grafana Alerting DingDing integration was not properly protected and could be exposed to users with Viewer permission. Fixed in versions 10.4.19+security-01, 11.2.10+security-01, 11.3.7+security-01, 11.4.5+security-01, 11.5.5+security-01, 11.6.2+security-01 and 12.0.1+security-01

Опубликовано: 2025-07-17Изменено: 2026-06-17
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVE-2025-3580
MEDIUM5.5

An access control vulnerability was discovered in Grafana OSS where an Organization administrator could permanently delete the Server administrator account. This vulnerability exists in the DELETE /api/org/users/ endpoint. The vulnerability can be exploited when: 1. An Organization administrator exists 2. The Server administrator is either: - Not part of any organization, or - Part of the same organization as the Organization administrator Impact: - Organization administrators can permanently delete Server administrator accounts - If the only Server administrator is deleted, the Grafana instance becomes unmanageable - No super-user permissions remain in the system - Affects all users, organizations, and teams managed in the instance The vulnerability is particularly serious as it can lead to a complete loss of administrative control over the Grafana instance.

Опубликовано: 2025-05-23Изменено: 2026-06-17
CVSS 3.xСРЕДНЯЯ 5.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
CVE-2025-4123
MEDIUM6.1

A cross-site scripting (XSS) vulnerability exists in Grafana caused by combining a client path traversal and open redirect. This allows attackers to redirect users to a website that hosts a frontend plugin that will execute arbitrary JavaScript. This vulnerability does not require editor permissions and if anonymous access is enabled, the XSS will work. If the Grafana Image Renderer plugin is installed, it is possible to exploit the open redirect to achieve a full read SSRF. The default Content-Security-Policy (CSP) in Grafana will block the XSS though the `connect-src` directive.

Опубликовано: 2025-05-22Изменено: 2026-06-17
CVSS 3.xСРЕДНЯЯ 6.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
CVE-2025-6023
HIGH7.6

An open redirect vulnerability has been identified in Grafana OSS that can be exploited to achieve XSS attacks. The vulnerability was introduced in Grafana v11.5.0. The open redirect can be chained with path traversal vulnerabilities to achieve XSS. Fixed in versions 12.0.2+security-01, 11.6.3+security-01, 11.5.6+security-01, 11.4.6+security-01 and 11.3.8+security-01

Опубликовано: 2025-07-18Изменено: 2026-06-17
CVSS 3.xВЫСОКАЯ 7.6
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L
CVE-2025-6197
MEDIUM4.2

An open redirect vulnerability has been identified in Grafana OSS organization switching functionality. Prerequisites for exploitation: - Multiple organizations must exist in the Grafana instance - Victim must be on a different organization than the one specified in the URL

Опубликовано: 2025-07-18Изменено: 2026-06-17
CVSS 3.xСРЕДНЯЯ 4.2
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N
CVE-2026-27876
CRITICAL9.1

A chained attack via SQL Expressions and a Grafana Enterprise plugin can lead to a remote arbitrary code execution impact (RCE). This is enabled by a feature in Grafana (OSS), so all users are always recommended to update to avoid future attack vectors going this path. Only instances with the sqlExpressions feature toggle enabled are vulnerable. Only instances in the following version ranges are affected: - 11.6.0 (inclusive) to 11.6.14 (exclusive): 11.6.14 has the fix. 11.5 and below are not affected. - 12.0.0 (inclusive) to 12.1.10 (exclusive): 12.1.10 has the fix. 12.0 did not receive an update, as it is end-of-life. - 12.2.0 (inclusive) to 12.2.8 (exclusive): 12.2.8 has the fix. - 12.3.0 (inclusive) to 12.3.6 (exclusive): 12.3.6 has the fix. - 12.4.0 (inclusive) to 12.4.2 (exclusive): 12.4.2 has the fix. 13.0.0 and above also have the fix: no v13 release is affected.

Опубликовано: 2026-03-27Изменено: 2026-06-27
CVSS 3.xКРИТИЧЕСКАЯ 9.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVE-2026-27880
HIGH7.5

The OpenFeature feature toggle evaluation endpoint reads unbounded values into memory, which can cause out-of-memory crashes.

Опубликовано: 2026-03-27Изменено: 2026-06-30
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVE-2026-28374
MEDIUM4.3

Editors could delete any annotation, even those they do not have read access to. The editor user cannot create or read the annotations.

Опубликовано: 2026-05-13Изменено: 2026-06-17
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
CVE-2026-28379
MEDIUM6.5

A race condition in Grafana Live allows authenticated users with Viewer role to trigger a server crash by sending concurrent requests that cause a fatal map access error. This results in complete service unavailability requiring restart of the Grafana server.

Опубликовано: 2026-05-13Изменено: 2026-06-17
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVE-2026-28383
MEDIUM6.5

A request to the Grafana plugin resources endpoint can cause unbounded memory allocation by reading the entire request body into memory. An authenticated user can exploit this to trigger an out-of-memory condition, potentially causing a denial of service.

Опубликовано: 2026-05-13Изменено: 2026-06-17
CVSS 3.xСРЕДНЯЯ 6.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVE-2026-33376
HIGH7.4

When using an IPv6 allow-list for the Auth Proxy feature, it defaults to /32 addresses. Addresses specifying a mask explicitly are not affected; to mitigate easily, add the desired mask (usually /128) to the addresses. Only auth proxy is affected; Okta, SAML, LDAP, etc are unaffected here.

Опубликовано: 2026-05-13Изменено: 2026-06-17
CVSS 3.xВЫСОКАЯ 7.4
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
CVE-2026-33377
HIGH7.1

An Editor can overwrite a dashboard not owned by them to acquire admin on that specific dashboard. The user must have write access to the dashboard to escalate privilege.

Опубликовано: 2026-05-13Изменено: 2026-06-17
CVSS 3.xВЫСОКАЯ 7.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
CVE-2026-42127
HIGH7.5

The public dashboard query endpoint does not limit request body size before processing, allowing unauthenticated attackers to trigger excessive memory allocation by sending arbitrarily large JSON payloads. This can lead to denial of service through memory exhaustion. No valid dashboard access token or authentication is required to exploit this vulnerability.

Опубликовано: 2026-06-22Изменено: 2026-06-30
CVSS 3.xВЫСОКАЯ 7.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H