Vulnerabilidad en Grafana Labs (CVE-2025-3260)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/06/2025
Última modificación:
02/06/2025
Descripción
Una vulnerabilidad de seguridad en los endpoints /apis/dashboard.grafana.app/* permite a los usuarios autenticados eludir los permisos de los paneles y carpetas. La vulnerabilidad afecta a todas las versiones de la API (v0alpha1, v1alpha1, v2alpha1). Impacto: - Los usuarios pueden ver todos los paneles y carpetas, independientemente de sus permisos. - Los editores pueden ver, editar y eliminar todos los paneles y carpetas, independientemente de sus permisos. - Los editores pueden crear paneles en cualquier carpeta, independientemente de sus permisos. - Los usuarios anónimos con roles de usuario/editor se ven afectados de forma similar. Los límites de aislamiento de la organización se mantienen intactos. La vulnerabilidad solo afecta al acceso al panel y no a las fuentes de datos.
Impacto
Puntuación base 3.x
8.30
Gravedad 3.x
ALTA