Grafana Labs 已针对多个产品版本发布了安全更新，修复了一个高危和两个中危级别的漏洞，这些漏洞影响了Grafana OSS 和 Grafana Enterprise。其中最严重的漏洞是 CVE-2025-3260，通用漏洞评分系统（CVSS）评分为 8.3（高危），该漏洞可能导致未经授权的用户访问和修改仪表盘，即使是权限极低的用户也能做到。

CVE-2025-3260：仪表盘权限绕过

此漏洞自Grafana 11.6.x 版本引入，影响 /apis/dashboard.grafana.app/* 端点，允许具有Viewer 或 Editor 角色的用户在其所在组织内绕过仪表盘级别的权限限制：

1.查看者可以访问所有仪表盘，无论其被分配的访问权限如何。

2.Editor 可以查看、编辑和删除同一组织内的任何仪表盘。

3.当匿名用户被配置为 Viewer 或 Editor 角色时，该漏洞也会对其产生影响。

匿名用户将能够根据其配置的角色查看或修改所有仪表盘。虽然组织边界仍然存在，但公告警告称，使用匿名身份验证的实例特别容易受到攻击。

CVE-2025-2703：XY 图表插件中的 DOM XSS

一名外部研究人员发现，在 Grafana 内置的 XY 图表插件中存在一个中危级别的基于文档对象模型（DOM）的跨站脚本（XSS）漏洞。该漏洞的 CVSS 评分为 6.8，它使得：当具有general.writer基于角色的访问控制（RBAC）权限的Editor或用户向 XY 图表中注入恶意代码时，可执行任意 JavaScript 代码。

Grafana Labs 指出，现有的内容安全策略（CSPs）无法防范此漏洞，但建议启用可信类型（Trusted Types）来减轻基于 DOM 的跨站脚本攻击向量的影响。

第三个漏洞 CVE-2025-3454 是在 Grafana 的数据源代理 API 中发现的另一个中危级别的漏洞（CVSS 评分为 5.0）。它允许：

1.通过在 API 路径中附加一个额外的正斜杠（/），未经授权地读取访问普罗米修斯（Prometheus）和警报管理器（Alertmanager）数据源。

2.该问题影响 Grafana 8.0 及更高版本，具体影响使用基本身份验证和特定路由权限的数据源中的只读路径。

该团队警告称：“ Grafana 用户可能会获得对 GET 端点的未经授权的读取访问权限，尽管他们被分配了相应的角色和权限。”

受影响的版本和补丁

这些漏洞影响以下版本：

1.CVE-2025-3260：≥ Grafana 11.6.0 版本

2.CVE-2025-2703：≥ Grafana 11.1.0 版本

3.CVE-2025-3454：≥ Grafana 8.0 版本

以下版本中提供了补丁：

1.Grafana 11.6.0+security-01

2.Grafana 11.5.3+security-01

3.Grafana 11.4.3+security-01

4.Grafana 11.3.5+security-01

5.Grafana 11.2.8+security-01

6.Grafana 10.4.17+security-01

缓解措施

如果无法立即打补丁，Grafana 建议采取以下临时缓解措施：

1.对于 CVE-2025-3260：阻止发往以下地址的入站流量：

（1）/apis/dashboard.grafana.app/v0alpha1

（2）/apis/dashboard.grafana.app/v1alpha1

（3）/apis/dashboard.grafana.app/v2alpha1

2.对于 CVE-2025-2703：启用可信类型以实施更严格的 DOM 操作策略。

3.对于 CVE-2025-3454：使用反向代理对传入的 URL 进行规范化和清理。

Grafana Labs 敦促所有用户和机构尽快进行更新：“如果您当前正在运行Grafana OSS 或 Grafana Enterprise，请更新到上述安全版本之一，以修复所有漏洞。”