关键信息 漏洞概述 漏洞名称: A malicious actor with Editor privileges can escalate their privileges to Administrator and perform arbitrary administrative actions CVE ID: CVE-2025-58746 严重性: Critical (9.1/10) 影响版本与修复版本 受影响版本: [Link] -> [URL]字段中注入任意JavaScript代码。 影响: - 编辑者可以在未经授权的情况下提升其权限到管理员。 - 提升后,攻击者可以完全控制Grafana实例(用户管理、数据访问、插件安装等)。 - 这有效地破坏了基于角色的访问控制(RBAC)模型。 证明概念(PoC) 当管理员点击包含此payload的链接时,编辑者账户将被提升为管理员权限。 建议 对插件中的输入字段进行清理和验证,以防止JavaScript协议或任意代码执行。 如果尚未实施,考虑实现内容安全策略(CSP)头。