CVE-2025-58746
Mis à jour :
Vulnérabilités Majeures dans des Solutions de Gestion et d’Affichage de Données
Deux failles de sécurité critiques ont été identifiées, affectant respectivement le panel Volkov Labs Business Links pour Grafana et la plateforme Directus.
Points Clés :
- Volkov Labs Business Links (Grafana) : Une vulnérabilité de type élévation de privilèges permet à un attaquant d’injecter du code JavaScript malveillant.
- Directus : Une faille dans le mécanisme de mise à jour de fichiers autorise la modification ou l’ajout de fichiers arbitraires par des acteurs non authentifiés, sans que ces changements soient visibles dans l’interface.
Vulnérabilités et CVEs :
- CVE-2025-58746 : Vulnérabilité dans Volkov Labs Business Links for Grafana permettant l’élévation de privilèges via injection de code JavaScript. Un attaquant avec des privilèges d’éditeur peut potentiellement obtenir un accès administrateur.
- CVE-2025-55746 : Vulnérabilité dans Directus (versions 10.8.0 à avant 11.9.3) affectant la mise à jour de fichiers. Permet à des attaquants non authentifiés de modifier ou d’uploader des fichiers arbitraires.
Recommandations :
- Il est conseillé aux utilisateurs de Volkov Labs Business Links for Grafana de mettre à jour vers une version corrigée pour prévenir l’élévation de privilèges non autorisée.
- Les utilisateurs de Directus utilisant les versions affectées par la CVE-2025-55746 doivent impérativement mettre à jour leur système vers une version supérieure ou égale à 11.9.3 pour corriger la faille de manipulation de fichiers.