Grafana Labs XSSCVE-2025-6023
high Nessus プラグイン ID 242625
Language:
概要
リモートホストにセキュリティ更新がありません。説明
リモートホストにインストールされた Grafana Labs のバージョンは、CVE-2025-6023 のアドバイザリに記載されている脆弱性の影響を受けます。- Grafana OSS にオープンリダイレクトの脆弱性が見つかりました。これが悪用され、XSS 攻撃が引き起こされる可能性があります。この脆弱性は Grafana v11.5.0 で導入されました。オープンリダイレクトは、パストラバーサルの脆弱性と連鎖して XSS が発生する可能性があります。CVE-2025-6023
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Grafana Labs を 11.3.8+security-01、11.4.6+security-01、11.5.6+security-01、11.6.3+security-01、12.0.2+security-01 以降に更新してください。参考資料
https://grafana.com/security/security-advisories/cve-2025-6023/
プラグインの詳細
深刻度: High
ID: 242625
ファイル名: grafana_CVE-2025-6023.nasl
バージョン: 1.2
タイプ: remote
ファミリー: Web Servers
公開日: 2025/7/23
更新日: 2025/7/25
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.5
CVSS v2
リスクファクター: High
基本値: 9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:P/A:P
CVSS スコアのソース: CVE-2025-6023
CVSS v3
リスクファクター: High
基本値: 7.6
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:L
脆弱性情報
CPE: cpe:/a:grafana:grafana
パッチ公開日: 2025/7/17
脆弱性公開日: 2025/7/17
参照情報
CVE: CVE-2025-6023
IAVB: 2025-B-0121