PT-2025-22699 · Grafana+3 · Grafana Oss+3
Saket Pandey
·
Publicado
2025-05-22
·
Atualizado
2025-08-29
·
CVE-2025-3580
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Grafana OSS (versões afetadas não especificadas)
Descrição
Foi descoberta uma falha de controle de acesso na qual um administrador de Organização poderia excluir permanentemente a conta de administrador do Servidor através do endpoint "DELETE /api/org/users/". Isso pode ser explorado quando existe um administrador de Organização e o administrador do Servidor não faz parte de nenhuma organização ou faz parte da mesma organização que o administrador de Organização. O impacto inclui a capacidade de administradores de Organização excluírem permanentemente contas de administradores do Servidor, potencialmente levando à perda completa do controle administrativo sobre a instância do Grafana se o único administrador do Servidor for excluído.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Grafana Oss
Red Os
Suse