Vulnerabilidad en Grafana OSS (CVE-2025-3580)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

23/05/2025

Última modificación:

23/05/2025

Descripción

Se descubrió una vulnerabilidad de control de acceso en Grafana OSS donde un administrador de la organización podría eliminar permanentemente la cuenta del administrador del servidor. Esta vulnerabilidad existe en el endpoint DELETE /api/org/users/. La vulnerabilidad se puede explotar cuando: 1. Existe un administrador de la organización 2. El administrador del servidor es: - No forma parte de ninguna organización, o - Forma parte de la misma organización que el administrador de la organización Impacto: - Los administradores de la organización pueden eliminar permanentemente las cuentas del administrador del servidor - Si se elimina el único administrador del servidor, la instancia de Grafana se vuelve inadministrable - No quedan permisos de superusuario en el sistema - Afecta a todos los usuarios, organizaciones y equipos administrados en la instancia La vulnerabilidad es particularmente grave, ya que puede llevar a una pérdida total del control administrativo sobre la instancia de Grafana.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

5.50

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://grafana.com/security/security-advisories/cve-2025-3580/