BDU:2025-12740

Опубликовано: 09 окт. 2025

Источник: fstec

CVSS3: 9.9

CVSS2: 9

EPSS Низкий

Описание

Уязвимость плагина для обработки изображений платформы для мониторинга и наблюдения Grafana связана с неверным управлением генерацией кода при обработке параметра filePath. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем загрузки специально сформированного файла

Вендор

Grafana Labs

Наименование ПО

Grafana Image Renderer

Версия ПО

до 4.0.17 (Grafana Image Renderer)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- изменение значения параметра authToken в соответствии с парольной политикой;

- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;

- использование средств межсетевого экранирования для ограничения удалённого доступа к платформе;

- ограничение доступа из внешних сетей (Интернет);

- ограничение доступа к платформе, используя схему доступа по «белым спискам»;

- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций:

https://grafana.com/security/security-advisories/cve-2025-11539/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-11539
CVE

EPSS

Процентиль: 59%

0.00389

Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2025-11539

CVSS3: 9.9

nvd

4 месяца назад

Grafana Image Renderer is vulnerable to remote code execution due to an arbitrary file write vulnerability. This is due to the fact that the /render/csv endpoint lacked validation of the filePath parameter that allowed an attacker to save a shared object to an arbitrary location that is then loaded by the Chromium process. Instances are vulnerable if: 1. The default token ("authToken") is not changed, or is known to the attacker. 2. The attacker can reach the image renderer endpoint. This issue affects grafana-image-renderer: from 1.0.0 through 4.0.16.

EPSS

Процентиль: 59%

0.00389

Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2