Grafana Labs 10.4.x < 10.4.19、11.2.x < 11.2.10、11.3.x < 11.3.7、11.4 < 11.4.5、11.5 < 11.5.5、11.6 < 11.6.2、12.0.x < 12.0.1 不適切なアクセスコントロール (CVE-2025-3580)
medium Nessus プラグイン ID 241355
Language:
概要
リモートホストにセキュリティ更新がありません。説明
リモートホストにインストールされた Grafana Labs のバージョンは、CVE-2025-3580 のアドバイザリに記載されている不適切なアクセスコントロールの脆弱性の影響を受けます。- Grafana OSS でアクセスコントロールの脆弱性が発見され、組織の管理者が Server の管理者アカウントを完全に削除する可能性があります。この脆弱性は DELETE /api/org/users/ エンドポイントに存在します。この脆弱性は次のときに悪用される可能性があります。1. 組織の管理者が存在する 2. サーバー管理者が次のいずれかです。- 組織の一部ではない、または - 組織の管理者と同じ組織の一部です。影響: - 組織の管理者はサーバー管理者アカウントを完全に削除できます。- サーバー管理者のみが削除されると、Grafana インスタンスが管理不能になります - システムにスーパーユーザーの権限が残りません - インスタンスで管理されているすべてのユーザー、組織、チームに影響します。この脆弱性は、Grfana インスタンスに対する管理コントロールの完全な損失につながる可能性があるため、特に深刻です。(CVE-2025-3580)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Grafana Labs を 10.4.19、11.2.10、11.3.7、11.4.5、11.5.5、11.6.2、12.0.1 以降に更新してください。参考資料
https://grafana.com/security/security-advisories/cve-2025-3580/
プラグインの詳細
深刻度: Medium
ID: 241355
ファイル名: grafana_CVE-2025-3580.nasl
バージョン: 1.1
タイプ: remote
ファミリー: Web Servers
公開日: 2025/7/4
更新日: 2025/7/4
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
CVSS v2
リスクファクター: Medium
基本値: 6.8
ベクトル: CVSS2#AV:N/AC:L/Au:M/C:N/I:P/A:C
CVSS スコアのソース: CVE-2025-3580
CVSS v3
リスクファクター: Medium
基本値: 5.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H
脆弱性情報
CPE: cpe:/a:grafana:grafana
パッチ公開日: 2025/5/22
脆弱性公開日: 2025/5/22
参照情報
CVE: CVE-2025-3580
IAVB: 2025-B-0096