CRITICAL🇬🇧 English

CVE-2025-58746

XSS w Volkov Labs Business Links dla Grafana — eskalacja uprawnień do Administratora

CVSS 9.0v3.1pub. 2025-09-08upd. 2026-04-15

Wtyczka Business Links dla Grafana umożliwia użytkownikowi z uprawnieniami Editor wstrzyknięcie dowolnego kodu JavaScript poprzez pole URL, co prowadzi do eskalacji uprawnień do poziomu Administrator. Podatność jest krytyczna, ponieważ pozwala przejąć pełną kontrolę administracyjną nad instancją Grafana.

Pokaż oryginał (EN)

The Volkov Labs Business Links panel for Grafana provides an interface to navigate using external links, internal dashboards, time pickers, and dropdown menus. Prior to version 2.4.0, a malicious actor with Editor privileges can escalate their privileges to Administrator and perform arbitrary administrative actions. This is possible because the plugin allows arbitrary JavaScript code injection in the [Layout] → [Link] → [URL] field. Version 2.4.0 contains a fix for the issue.

🤖 Analiza AI
Jak działa

W wersjach wcześniejszych niż 2.4.0 wtyczka Business Links nie sanityzuje wartości wprowadzanych w polu [Layout] → [Link] → [URL]. Użytkownik z rolą Editor może umieścić tam dowolny kod JavaScript, który zostanie wykonany w przeglądarce ofiary (np. Administratora) po kliknięciu lub wyświetleniu odnośnika. Mechanizm XSS (CWE-79, CWE-83) pozwala w ten sposób na przejęcie sesji lub wykonanie uprzywilejowanych operacji administracyjnych w kontekście zaatakowanego użytkownika.

Skutki

Atakujący z uprawnieniami Editor może eskalować swoje uprawnienia do poziomu Administrator i wykonywać dowolne działania administracyjne w instancji Grafana, w tym modyfikować konfigurację, uzyskiwać dostęp do danych oraz zarządzać użytkownikami.

Mitygacja

Należy zaktualizować wtyczkę Volkov Labs Business Links do wersji 2.4.0, która zawiera poprawkę eliminującą możliwość wstrzyknięcia kodu JavaScript w polu URL. Patch dostępny jest w repozytorium GitHub projektu (commit 9d203a6950de7860e11b25e4265ed8fe60082d7d).

Kogo dotyczy

Wtyczka Volkov Labs Business Links dla Grafana we wszystkich wersjach przed 2.4.0

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje