grafana-9.2.10-23.el8_10

エラータID: AXSA:2025-9968:05

リリース日: 
2025/05/29 Thursday - 21:50
題名: 
grafana-9.2.10-23.el8_10
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Grafana のカスタムフロンドエンドプラグインの処理には、パス
トラバーサル攻撃、オープンリダイレクト攻撃、およびクロスサイト
スクリプティング攻撃を許容してしまう問題があるため、リモートの
攻撃者により、任意の JavaScript コードの実行、および意図しない
ウェブサイトへのリダイレクトを可能とする脆弱性が存在します。
(CVE-2025-4123)

解決策: 

Update packages.

CVE: 
CVE-2025-4123
A cross-site scripting (XSS) vulnerability exists in Grafana caused by combining a client path traversal and open redirect. This allows attackers to redirect users to a website that hosts a frontend plugin that will execute arbitrary JavaScript. This vulnerability does not require editor permissions and if anonymous access is enabled, the XSS will work. If the Grafana Image Renderer plugin is installed, it is possible to exploit the open redirect to achieve a full read SSRF. The default Content-Security-Policy (CSP) in Grafana will block the XSS though the `connect-src` directive.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. grafana-9.2.10-23.el8_10.src.rpm
    MD5: 32edba7b623f98925e5c77f732b2966f
    SHA-256: 713b5f8c7571083b60a89da68b55489d5a74e27a3a59767720475955bdd8c8e8
    Size: 327.50 MB

Asianux Server 8 for x86_64
  1. grafana-9.2.10-23.el8_10.x86_64.rpm
    MD5: de6a80b6884e9a37168a47e1503543d2
    SHA-256: 5e565cdfa5c13b97dd80e281a0867dbc677a82c1da0592236809e42003c93ffb
    Size: 76.30 MB
  2. grafana-selinux-9.2.10-23.el8_10.x86_64.rpm
    MD5: ef9d9146c4f79fafebdde393a459dffb
    SHA-256: 1155cf31074813ed4215dca83d8e84a64db9198afe30e97515a4cbeac4854bb4
    Size: 34.80 kB