Grafana Labs针对视觉化资料分析平台Grafana发布安全更新，修正多项资安漏洞。其中，高风险漏洞CVE-2025-3260影响Grafana 11.6.0版本以上的新分支，允许具Viewer或Editor角色的使用者绕过仪表板与资料夹的权限设定，查看、编辑或删除组织内所有仪表板。当系统启用匿名认证，且匿名用户被指派为Viewer或Editor角色，未登入使用者也可能无需授权即可操作组织内所有仪表板。

根据官方说明，该漏洞发生于新开发的/apis/dashboard.grafana.app/系列端点，在权限检查逻辑上存在缺陷，影响所有启用该API的部署环境。虽然组织隔离机制仍然有效，不同组织之间的资料不会因此洩漏，但单一组织内的权限防护却会失效。该漏洞CVSS评分为8.3属高风险等级，建议用户尽速升级至11.6.0+security-01版本或同分支修补版本，即便使用者无法立即升级，也应以网路层封锁特定API路径，并确保封锁机制同时适用于localhost内部请求。

此次安全更新另外修正了两个中度严重性漏洞，分别是CVE-2025-2703与CVE-2025-3454。CVE-2025-2703为内建XY图表外挂模组中的DOM XSS漏洞，允许具有Editor权限或共用面板（Library Panel）写入权限的使用者植入恶意JavaScript，并在仪表板渲染时触发。由于现有的内容安全政策无法有效拦阻此类攻击，官方建议升级版本或启用Trusted Types网页浏览器防护机制，但需留意Trusted Types仍为实验性功能，可能影响整体系统行为。

另一项漏洞CVE-2025-3454则发生于资料来源代理API，允许攻击者透过在URL路径中插入额外斜线绕过授权检查，未经授权读取Alertmanager及特定Prometheus资料来源的资讯。该漏洞影响Grafana 8.0以上版本，主要与使用基本认证且採取路由层级授权管控的资料来源有关。官方建议升级至10.4.17+security-01版，或透过反向代理服务器正规化URL以消除风险。

Grafana Labs表示，Grafana云端平台与託管云端服务如Amazon Managed Grafana、Azure Managed Grafana已于公告前完成修补，且未发现漏洞遭滥用的情形。