Multiples vulnérabilités dans Grafana (23 avril 2025)

Risques

• Contournement de la politique de sécurité
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• Grafana version 11.6.0 sans le dernier correctif de sécurité
• Grafana versions 11.2.x antérieures à 11.2.8 sans le dernier correctif de sécurité
• Grafana versions 11.3.x antérieures à 11.3.5 sans le dernier correctif de sécurité
• Grafana versions 11.4.x antérieures à 11.4.3 sans le dernier correctif de sécurité
• Grafana versions 11.5.x antérieures à 11.5.3 sans le dernier correctif de sécurité
• Grafana versions antérieures à 10.4.17 sans le dernier correctif de sécurité

Documentation

• Bulletin de sécurité Grafana cve-2025-3260 du 22 avril 2025
https://grafana.com/blog/2025/04/22/grafana-security-release-medium-and-high-severity-fixes-for-cve-2025-3260-cve-2025-2703-cve-2025-3454/
• Référence CVE CVE-2025-2703
https://www.cve.org/CVERecord?id=CVE-2025-2703
• Référence CVE CVE-2025-3260
https://www.cve.org/CVERecord?id=CVE-2025-3260
• Référence CVE CVE-2025-3454
https://www.cve.org/CVERecord?id=CVE-2025-3454