Все бюллетени/c10f2/ALT-PU-2025-10491-4
ALT-PU-2025-10491-4

Обновление пакета grafana в ветке c10f2

Версия12.1.0-alt2
Задание#392515
Опубликовано2026-04-02
Макс. серьёзностьCRITICAL
Серьёзность:

Закрытые проблемы (16)

BDU:2025-06002
HIGH7.2

Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с ошибками разграничения доступа, позволяющая нарушителю нарушить работу программы

Опубликовано: 2025-05-26Изменено: 2025-06-24
CVSS 3.xВЫСОКАЯ 7.2
CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
Ссылки
BDU:2025-06809
HIGH7.6

Уязвимость компонента Custom Frontend Plugin платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS)

Опубликовано: 2025-06-16Изменено: 2025-11-26
CVSS 3.xВЫСОКАЯ 7.6
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:P/A:P
Ссылки
BDU:2025-08873
MEDIUM4.3

Уязвимость службы оповещения Alerts & IRM платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю раскрыть защищаемую информацию

Опубликовано: 2025-07-23Изменено: 2025-08-01
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
CVSS 2.0СРЕДНЯЯ 4.0
CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N
Ссылки
BDU:2025-08910
HIGH7.6

Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю осуществлять межсайтовые сценарные атаки (XSS)

Опубликовано: 2025-07-23Изменено: 2025-08-01
CVSS 3.xВЫСОКАЯ 7.6
CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:P/A:P
Ссылки
BDU:2025-09887
MEDIUM4.2

Уязвимость компонента OSS Organization Switching платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю перенаправить пользователя на произвольный сайт

Опубликовано: 2025-08-18
CVSS 3.xСРЕДНЯЯ 4.2
CVSS:3.x/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N
CVSS 2.0СРЕДНЯЯ 4.0
CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:P/A:N
Ссылки
BDU:2026-04159
CRITICAL9.1

Уязвимость функции SQL Expressions платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю выполнить произвольный код и получить несанкционированный доступ к платформе

Опубликовано: 2026-03-30Изменено: 2026-04-01
CVSS 3.xКРИТИЧЕСКАЯ 9.1
CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CVSS 2.0КРИТИЧЕСКАЯ 9.0
CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:C
Ссылки
CVE-2025-3415
MEDIUM4.3

Grafana is an open-source platform for monitoring and observability. The Grafana Alerting DingDing integration was not properly protected and could be exposed to users with Viewer permission. Fixed in versions 10.4.19+security-01, 11.2.10+security-01, 11.3.7+security-01, 11.4.5+security-01, 11.5.5+security-01, 11.6.2+security-01 and 12.0.1+security-01

Опубликовано: 2025-07-17Изменено: 2026-04-15
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Ссылки
CVE-2025-3580
MEDIUM5.5

An access control vulnerability was discovered in Grafana OSS where an Organization administrator could permanently delete the Server administrator account. This vulnerability exists in the DELETE /api/org/users/ endpoint. The vulnerability can be exploited when: 1. An Organization administrator exists 2. The Server administrator is either: - Not part of any organization, or - Part of the same organization as the Organization administrator Impact: - Organization administrators can permanently delete Server administrator accounts - If the only Server administrator is deleted, the Grafana instance becomes unmanageable - No super-user permissions remain in the system - Affects all users, organizations, and teams managed in the instance The vulnerability is particularly serious as it can lead to a complete loss of administrative control over the Grafana instance.

Опубликовано: 2025-05-23Изменено: 2026-04-15
CVSS 3.xСРЕДНЯЯ 5.5
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
Ссылки
CVE-2025-4123
MEDIUM6.1

A cross-site scripting (XSS) vulnerability exists in Grafana caused by combining a client path traversal and open redirect. This allows attackers to redirect users to a website that hosts a frontend plugin that will execute arbitrary JavaScript. This vulnerability does not require editor permissions and if anonymous access is enabled, the XSS will work. If the Grafana Image Renderer plugin is installed, it is possible to exploit the open redirect to achieve a full read SSRF. The default Content-Security-Policy (CSP) in Grafana will block the XSS though the `connect-src` directive.

Опубликовано: 2025-05-22Изменено: 2026-04-29
CVSS 3.xСРЕДНЯЯ 6.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Ссылки
CVE-2025-6023
HIGH7.6

An open redirect vulnerability has been identified in Grafana OSS that can be exploited to achieve XSS attacks. The vulnerability was introduced in Grafana v11.5.0. The open redirect can be chained with path traversal vulnerabilities to achieve XSS. Fixed in versions 12.0.2+security-01, 11.6.3+security-01, 11.5.6+security-01, 11.4.6+security-01 and 11.3.8+security-01

Опубликовано: 2025-07-18Изменено: 2026-04-15
CVSS 3.xВЫСОКАЯ 7.6
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L
Ссылки
CVE-2025-6197
MEDIUM4.2

An open redirect vulnerability has been identified in Grafana OSS organization switching functionality. Prerequisites for exploitation: - Multiple organizations must exist in the Grafana instance - Victim must be on a different organization than the one specified in the URL

Опубликовано: 2025-07-18Изменено: 2026-04-15
CVSS 3.xСРЕДНЯЯ 4.2
CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N
Ссылки
CVE-2026-27876
CRITICAL9.1

A chained attack via SQL Expressions and a Grafana Enterprise plugin can lead to a remote arbitrary code execution impact (RCE). This is enabled by a feature in Grafana (OSS), so all users are always recommended to update to avoid future attack vectors going this path. Only instances with the sqlExpressions feature toggle enabled are vulnerable. Only instances in the following version ranges are affected: - 11.6.0 (inclusive) to 11.6.14 (exclusive): 11.6.14 has the fix. 11.5 and below are not affected. - 12.0.0 (inclusive) to 12.1.10 (exclusive): 12.1.10 has the fix. 12.0 did not receive an update, as it is end-of-life. - 12.2.0 (inclusive) to 12.2.8 (exclusive): 12.2.8 has the fix. - 12.3.0 (inclusive) to 12.3.6 (exclusive): 12.3.6 has the fix. - 12.4.0 (inclusive) to 12.4.2 (exclusive): 12.4.2 has the fix. 13.0.0 and above also have the fix: no v13 release is affected.

Опубликовано: 2026-03-27Изменено: 2026-04-02
CVSS 3.xКРИТИЧЕСКАЯ 9.1
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Ссылки
GHSA-46m5-8hpj-p5p5
MEDIUM4.3

Grafana's insecure DingDing Alert integration exposes sensitive information

Опубликовано: 2025-07-17Изменено: 2025-07-23
CVSS 3.xСРЕДНЯЯ 4.3
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Ссылки
GHSA-q53q-gxq9-mgrj
HIGH7.6

Grafana Cross-Site-Scripting (XSS) via custom loaded frontend plugin

Опубликовано: 2025-05-22Изменено: 2025-07-21
CVSS 3.xВЫСОКАЯ 7.6
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L
Ссылки
GHSA-vqph-p5vc-g644
HIGH7.6

Grafana is vulnerable to XSS attacks through open redirects and path traversal

Опубликовано: 2025-07-18Изменено: 2025-07-20
CVSS 3.xВЫСОКАЯ 7.6
CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L
Ссылки