Vulnerabilidad en Grafana (CVE-2025-3454)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-285 Autorización incorrecta

Fecha de publicación:

02/06/2025

Última modificación:

02/06/2025

Descripción

Esta vulnerabilidad en la API de proxy de origen de datos de Grafana permite omitir las comprobaciones de autorización añadiendo una barra diagonal adicional en la ruta URL. Los usuarios con permisos mínimos podrían obtener acceso de lectura no autorizado a los endpoints GET en los orígenes de datos de Alertmanager y Prometheus. El problema afecta principalmente a los orígenes de datos que implementan permisos específicos de ruta, como Alertmanager y algunos orígenes de datos basados en Prometheus.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.00

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://grafana.com/security/security-advisories/cve-2025-3454/