Vulnerabilidad en Grafana (CVE-2025-41117)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

12/02/2026

Última modificación:

12/02/2026

Descripción

Las trazas de pila en la vista &#39;Explore Traces&#39; de Grafana pueden renderizarse como HTML sin procesar y, por lo tanto, inyectar JavaScript malicioso en el navegador. Esto requeriría que se introduzca JavaScript malicioso en el campo de traza de pila.<br /> <br /> Solo las fuentes de datos con la API HTTP de Jaeger parecen estar afectadas; Jaeger gRPC y Tempo no parecen afectadas en absoluto.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.80

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://grafana.com/security/security-advisories/CVE-2025-41117