Grafana Labs針對視覺化資料分析平臺Grafana發布安全更新,修正多項資安漏洞。其中,高風險漏洞CVE-2025-3260影響Grafana 11.6.0版本以上的新分支,允許具Viewer或Editor角色的使用者繞過儀表板與資料夾的權限設定,查看、編輯或刪除組織內所有儀表板。當系統啟用匿名認證,且匿名用戶被指派為Viewer或Editor角色,未登入使用者也可能無需授權即可操作組織內所有儀表板。
根據官方說明,該漏洞發生於新開發的/apis/dashboard.grafana.app/系列端點,在權限檢查邏輯上存在缺陷,影響所有啟用該API的部署環境。雖然組織隔離機制仍然有效,不同組織之間的資料不會因此洩漏,但單一組織內的權限防護卻會失效。該漏洞CVSS評分為8.3屬高風險等級,建議用戶盡速升級至11.6.0+security-01版本或同分支修補版本,即便使用者無法立即升級,也應以網路層封鎖特定API路徑,並確保封鎖機制同時適用於localhost內部請求。
此次安全更新另外修正了兩個中度嚴重性漏洞,分別是CVE-2025-2703與CVE-2025-3454。CVE-2025-2703為內建XY圖表外掛模組中的DOM XSS漏洞,允許具有Editor權限或共用面板(Library Panel)寫入權限的使用者植入惡意JavaScript,並在儀表板渲染時觸發。由於現有的內容安全政策無法有效攔阻此類攻擊,官方建議升級版本或啟用Trusted Types網頁瀏覽器防護機制,但需留意Trusted Types仍為實驗性功能,可能影響整體系統行為。
另一項漏洞CVE-2025-3454則發生於資料來源代理API,允許攻擊者透過在URL路徑中插入額外斜線繞過授權檢查,未經授權讀取Alertmanager及特定Prometheus資料來源的資訊。該漏洞影響Grafana 8.0以上版本,主要與使用基本認證且採取路由層級授權管控的資料來源有關。官方建議升級至10.4.17+security-01版,或透過反向代理伺服器正規化URL以消除風險。
Grafana Labs表示,Grafana雲端平臺與託管雲端服務如Amazon Managed Grafana、Azure Managed Grafana已於公告前完成修補,且未發現漏洞遭濫用的情形。
熱門新聞
2025-05-16
2025-05-15
2025-05-16
2025-05-16
2025-05-16
2025-05-15