CVE-2025-41117

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-41117
Stack traces in Grafana's Explore Traces view can be rendered as raw HTML, and thus inject malicious JavaScript in the browser. This would require malicious JavaScript to be entered into the stack trace field. Only datasources with the Jaeger HTTP API appear to be affected; Jaeger gRPC and Tempo do not appear affected whatsoever.

6.8 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://grafana.com/security/security-advisories/cve-2025-41117 Broken Link
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.2.4:-:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.3.2:-:*:*:*:*:*:*
History

26 Feb 2026, 22:20

Type Values Removed Values Added
References
  • {'url': 'https://grafana.com/security/security-advisories/CVE-2025-41117', 'tags': ['Broken Link'], 'source': 'security@grafana.com'}
  • () https://grafana.com/security/security-advisories/cve-2025-41117 - Broken Link

23 Feb 2026, 19:34

Type Values Removed Values Added
CPE cpe:2.3:a:grafana:grafana:12.2.4:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.3.1:security01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.2.0:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.3.0:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.3.1:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.2.3:security01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.3.2:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.2.1:security01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.2.3:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.2.2:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.2.1:*:*:*:-:*:*:*		 cpe:2.3:a:grafana:grafana:12.2.4:-:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.3.2:-:*:*:*:*:*:*

23 Feb 2026, 19:06

Type Values Removed Values Added
CPE cpe:2.3:a:grafana:grafana:12.2.3:security-01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.2.1:security-01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.2.4:security-01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.3.2:security-01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.3.1:security-01:*:*:*:*:*:*		 cpe:2.3:a:grafana:grafana:12.2.1:security01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.3.1:security01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.2.3:security01:*:*:*:*:*:*

23 Feb 2026, 13:54

Type Values Removed Values Added
First Time Grafana
Grafana grafana
References () https://grafana.com/security/security-advisories/CVE-2025-41117 - () https://grafana.com/security/security-advisories/CVE-2025-41117 - Broken Link
CWE CWE-79
CPE cpe:2.3:a:grafana:grafana:12.2.3:security-01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.2.4:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.2.0:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.2.1:security-01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.3.0:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.3.1:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.3.1:security-01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.3.2:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.2.4:security-01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.3.2:security-01:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.2.3:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.2.2:*:*:*:-:*:*:*
cpe:2.3:a:grafana:grafana:12.2.1:*:*:*:-:*:*:*
Summary
  • (es) Las trazas de pila en la vista 'Explore Traces' de Grafana pueden renderizarse como HTML sin procesar y, por lo tanto, inyectar JavaScript malicioso en el navegador. Esto requeriría que se introduzca JavaScript malicioso en el campo de traza de pila. Solo las fuentes de datos con la API HTTP de Jaeger parecen estar afectadas; Jaeger gRPC y Tempo no parecen afectadas en absoluto.

12 Feb 2026, 09:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-02-12 09:16

Updated : 2026-02-26 22:20

NVD link : CVE-2025-41117

Mitre link : CVE-2025-41117

CVE.ORG link : CVE-2025-41117

JSON object : View

Products Affected

grafana

  • grafana
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')