Grafana corrige vulnerabilidades de seguridad crítica

Grafana ha lanzado una actualización de seguridad crítica que aborda tres vulnerabilidades en sus ediciones OSS y Enterprise. Estas fallas afectan la gestión de permisos en dashboards, la seguridad del plugin XY Chart y el control de acceso en la API de proxy de fuentes de datos. Esto podría resultar en acceso no autorizado, ejecución de código malicioso y exposición de datos sensibles.​

• CVE-2025-3260 (CVSS 8.3): Esta vulnerabilidad permite que usuarios con roles de Viewer, Editor, e incluso usuarios anónimos, accedan, editen o eliminen dashboards sin respetar las restricciones de permisos establecidas. La falla reside en los endpoints /apis/dashboard.grafana.app/*, comprometiendo la integridad de los dashboards.

•  CVE-2025-2703 (CVSS 6.8): Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) basada en DOM en el plugin XY Chart de Grafana, permite que usuarios con rol de Editor o RBAC puedan inyectar código JavaScript malicioso en dashboards, y a su vez este ejecutarse en el navegador de otros usuarios al visualizar el dashboards afectado. Esta vulnerabilidad no es mitigada por las políticas de seguridad de contenido (CSP) existentes.

• CVE-2025-3454 (CVSS 5.0): Una falla en la API de proxy de fuentes de datos permite a usuarios con permisos limitados obtener acceso no autorizado a datos de Prometheus y Alertmanager. Al manipular la ruta de la API agregando una barra diagonal adicional, se pueden evadir las verificaciones de autorización.

CVE	Versión Afectada	Solución
CVE-2025-3260	Grafana 11.6.0 y posteriores.	Actualizar a 11.6.0+security-01 o superior.
CVE-2025-2703	Grafana 11.1.0 y posteriores.	Actualizar a 11.6.0+security-01 o superior.
CVE-2025-3454	Grafana 8.0 y posteriores.	Actualizar a 10.4.17+security-01 o 11.6.0+security-01 o superior.

Recomendaciones:

• Actualizar Grafana a la versión corregida correspondiente. Si no es posible, considere las siguientes versiones corregidas: 11.5.3+security-01, 11.4.3+security-01, 11.3.5+security-01, 11.2.8+security-01, 10.4.17+security-01

• Bloquear el tráfico entrante , a los endpoints: /apis/dashboard.grafana.app/v0alpha1, /v1alpha1 y /v2alpha1 si no es posible actualizar de inmediato (CVE-2025-3260).

• Habilitar Trusted Types para reforzar la seguridad contra XSS basados en DOM (CVE-2025-2703).

• Revisar y ajustar las configuraciones de permisos de usuarios y roles en Grafana.

Referencias:

• https://grafana.com/blog/2025/04/22/grafana-security-release-medium-and-high-severity-fixes-for-cve-2025-3260-cve-2025-2703-cve-2025-3454/

• https://securityonline.info/grafana-patches-cve-2025-3260-and-more-in-critical-security-update/

• https://www.tenable.com/cve/CVE-2025-2703

• https://www.cve.org/CVERecord?id=CVE-2025-2703