Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Grafana Labs (CVE-2025-3260)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/06/2025
Última modificación:
02/06/2025

Descripción

Una vulnerabilidad de seguridad en los endpoints /apis/dashboard.grafana.app/* permite a los usuarios autenticados eludir los permisos de los paneles y carpetas. La vulnerabilidad afecta a todas las versiones de la API (v0alpha1, v1alpha1, v2alpha1). Impacto: - Los usuarios pueden ver todos los paneles y carpetas, independientemente de sus permisos. - Los editores pueden ver, editar y eliminar todos los paneles y carpetas, independientemente de sus permisos. - Los editores pueden crear paneles en cualquier carpeta, independientemente de sus permisos. - Los usuarios anónimos con roles de usuario/editor se ven afectados de forma similar. Los límites de aislamiento de la organización se mantienen intactos. La vulnerabilidad solo afecta al acceso al panel y no a las fuentes de datos.

Referencias a soluciones, herramientas e información