- شناسه CVE-2025-3580 :CVE
- CWE-284 :CWE
- yes :Advisory
- منتشر شده: می 23, 2025
- به روز شده: جولای 17, 2025
- امتیاز: 5.5
- نوع حمله: Authorization Bypass
- اثر گذاری: Privilege Escalation
- حوزه: سیستم مدیریت محتوا
- برند: Grafana
- محصول: Grafana
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری کنترل دسترسی در Grafana OSS به یک مدیر سازمان اجازه میدهد با استفاده از اندپوینت DELETE /api/org/users حساب مدیر سرور را بهطور دائم حذف کند؛ اگر آخرین مدیر سرور حذف شود، نمونه Grafana غیرقابل مدیریت شده و هیچ کاربری با دسترسی کامل (super-user) در سیستم باقی نمیماند.
توضیحات
آسیبپذیری CVE-2025-3580 در Grafana OSS (نسخه متنباز گرافانا) ناشی از کنترل دسترسی نامناسب مطابق با CWE-284 در اندپوینت DELETE /api/org/users/ است. این اندپوینت که برای حذف کاربران سازمان طراحی شده، بررسیهای لازم برای جلوگیری از حذف حسابهای مدیر سرور (Server administrator، دارای دسترسی کامل) را انجام نمیدهد. در نتیجه، یک مدیر سازمان (Organization admin، با مجوزهای محدودتر) میتواند با ارسال درخواست DELETE، حتی حساب مدیر سروری که عضو سازمان او نیست را حذف کند.
این ضعف از راه دور و با دسترسی مدیر سازمان فعال میشود؛ پس از کسب این دسترسی، مهاجم میتواند از طریق API Grafana (مانند curl یا Postman) درخواست DELETE را ارسال کرده و حساب را بهطور دائمی حذف کند. اگر هیچ مدیر سروری باقی نماند، نمونه Grafana غیرقابل مدیریت میشود؛ بهعبارت دیگر، دسترسی به تنظیمات سرور، کاربران، سازمانها و تیمها از بین رفته و هیچ کاربر با دسترسی کاملی (super‑user) برای بازیابی اطلاعات وجود نخواهد داشت. در محیطهای چند مستأجره (multi-tenant) یا سازمانی با نقشهای مدیریتی تقسیمشده، این ضعف میتواند منجر به downtime کامل یا از دست رفتن دادههای مدیریتی شود.
بهرهبرداری از این ضعف به سادگی قابل خودکارسازی است؛ مهاجم میتواند با اسکریپتهای خودکار، از راه دور و بدون تعامل کاربر، لیست کاربران را بررسی کرده، مدیر سرور را شناسایی و سپس درخواست DELETE را ارسال کند تا حساب را حذف نماید. پیامدهای آسیبپذیری شامل تأثیر بر یکپارچگی و در دسترسپذیری است؛ حذف حساب میتواند نمونه Grafana را غیرقابل مدیریت کرده و تمام کاربران، سازمانها و تیمها را تحت تأثیر قرار دهد.
این ضعف با بهبود بررسیهای دسترسی در اندپوینت (مانند چک super-user flag) پچ شده و اصلاحات در نسخههای 10.4.19، 11.2.10، 11.3.7، 11.4.5، 11.5.5، 11.6.2 و 12.0.1 اعمال شدهاند.
CVSS
| Score | Severity | Version | Vector String |
| 5.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 12.0.0 before 12.0.1
affected from 11.6.1 before 11.6.2 affected from 11.5.4 before 11.5.5 affected from 11.4.4 before 11.4.5 affected from 11.3.6 before 11.3.7 affected from 11.2.9 before 11.2.10 affected from 10.4.18 before 10.4.19 |
Grafana |
لیست محصولات بروز شده
| Versions | Product |
| 12.0.1
11.6.2 11.5.5 11.4.5 11.3.7 11.2.10 10.4.19 |
Grafana |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Grafana را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 34,000 | site:.ir “Grafana” | Grafana |
نتیجه گیری
آسیبپذیری با شدت متوسط در Grafana OSS میتواند باعث از دست رفتن کامل کنترل مدیریتی شود؛ زیرا به یک مدیر سازمان اجازه میدهد تا حساب مدیر سرور را بهصورت غیرمجاز حذف کند. این موضوع ممکن است نمونه Grafana را بهطور کامل غیرقابلمدیریت نماید. با توجه به انتشار پچهای رسمی، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش سطح ریسک ضروری است:
- بهروزرسانی فوری: تمام نمونه های Grafana را به نسخههای پچشده 10.4.19، 11.2.10، 11.3.7، 11.4.5، 11.5.5، 11.6.2 یا 12.0.1 به روزرسانی کنید.
- تقویت کنترل دسترسی: مجوزهای مدیران سازمان را محدود کنید و حساب مدیر سرور را همیشه در سازمانهای جداگانه قرار دهید؛ از مدل کنترل دسترسی مبتنی بر نقش (RBAC) برای جداسازی وظایف استفاده کنید.
- نظارت بر API: لاگهای Grafana (مانند audit logs) را برای شناسایی درخواستهای DELETE /api/org/users/ بررسی کنید؛ از سامانه های مدیریت اطلاعات و رویداد امنیتی (SIEM) مانند ELK Stack برای تشخیص سوءاستفاده استفاده نمایید.
- بازیابی و پشتیبان گیری: حسابهای پشتیبان مدیر سرور (backup admins) ایجاد کرده و فرآیند بازیابی را طریق بازیابی پایگاه داده ثبت و مستند نمایید.
- ایزولهسازی: Grafana را در محیطهای ایزوله مانند Air-Gapped Networks یا از طریق VPN برای دسترسیهای مدیریتی اجرا کنید و API را با محدودیت نرخ (مانند nginx proxy) ایمن سازید.
- تست امنیتی: محیطهای آزمایشی را با ابزارهایی مانند OWASP ZAP یا API fuzzing برای تست اندپوینت های کاربران بررسی کنید تا از عدم وجود دسترسیهای غیرمجاز اطمینان حاصل شود.
- آموزش مدیران: تیمهای DevOps را درباره جداسازی نقشهای مدیریتی و اهمیت نظارت بر لاگ ها آموزش دهید.
اجرای این اقدامات، بهویژه بهروزرسانی سریع و جداسازی نقشهای مدیریتی، ریسک بهرهبرداری از این آسیبپذیری را بهطور چشمگیری کاهش داده و امنیت نمونه های Grafana را بهصورت قابلتوجهی افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
در منابع عمومی صریحاً ذکر نشده که این CVE خودبهخودی راهِ دسترسی اولیه (Initial Access) فراهم میکند؛ برای بهرهبرداری نیاز به حساب «Organization Admin» است و بنابراین بردار اولیه باید پیشازاین تأمین شده باشد
Privilege Escalation (TA0004)
بهصورت عملی و قطعی آنچه گزارشها نشان میدهند این است که یک مدیر سازمان میتواند از طریق API حساب مدیر سرور را حذف کند و بدینترتیب امتیازات کنترلی را بهنفع خود یا بهضرر سازمان عوض کند؛ این رفتار در واقع یک مسیر عملی برای دستیابی به کنترل بیشتر روی نمونه (escalation of control/privileges) یا تضعیف دسترسیهای سطحبالا است.
Impact (TA0040)
اثرات عملی و بسیار محتملِ ثبتشده عبارتاند از: حذف کامل یا موقتِ همه مدیران سرور که منجر به «از دست رفتن کنترلِ نمونه» میشود—در نتیجه دسترسی به مدیریت، بازیابی و تنظیمات کل سرویس قطع میگردد؛ این پیامدها روی یکپارچگی و در دسترسپذیری تاثیر مستقیم دارند و میتوانند به downtime مدیریتشده یا از دست رفتن توانایی پاسخدهی منجر شوند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-3580
- https://www.cvedetails.com/cve/CVE-2025-3580/
- https://grafana.com/security/security-advisories/cve-2025-3580/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-3580
- https://vuldb.com/?id.310179
- https://nvd.nist.gov/vuln/detail/CVE-2025-3580
- https://cwe.mitre.org/data/definitions/284.html
