Grafana中的高严重跨站点脚本(XSS)漏洞可能允许攻击者将用户重定向到恶意网站。

该漏洞在CVE-2025-4123收到7.6(HIGH)的CVSS分数时跟踪,允许攻击者利用客户端路径遍历和打开重定向,通过自定义前端插件执行任意JavaScript代码。

该漏洞最初计划于5月22日进行修补,但在该漏洞泄露给公众后提前发布。

安全研究员阿尔瓦罗·巴拉达(Alvaro Balada)通过该公司的漏洞赏金计划发现并报告了格拉法纳的漏洞。

Grafana XSS 漏洞

该漏洞特别危险,因为与Grafana中的许多其他XSS漏洞不同,它不需要编辑器权限来利用。

如果在 Grafana 实例上启用了匿名访问,XSS 攻击将无需任何身份验证即可工作。

这大大扩展了许多使用Grafana进行监控解决方案的组织的潜在攻击面。

该漏洞影响Grafana OSS和Grafana Enterprise,所有当前支持和不受支持的版本至少可以追溯到Grafana 8。

但是,Grafana Cloud 实例不受此漏洞的影响,Grafana Labs 证实了这一点。

此漏洞的技术后果超出了简单的 XSS 攻击。与 Grafana Image Renderer 插件结合使用时,该漏洞可能会被滥用为完整读取的 Server-Side 请求伪造 (SSRF)。

这种组合允许攻击者潜在地暴露内部服务和云元数据,为受影响的组织带来重大安全风险。

成功利用可能导致会话劫持或完成账户接管。该漏洞源于自定义前端插件中用户提供的路径处理不当,从而创建了XSS和开放重定向问题。

该漏洞遵循与之前 Grafana 安全问题类似的模式,其中利用了路径遍历和重定向漏洞。

2021年,Grafana面临类似的零日漏洞(CVE-2021-43798),允许攻击者在Grafana文件夹之外穿越并远程访问受限制文件。

可用补丁

Grafana Labs 发布了所有支持版本的补丁版本:Grafana 12.0.0+security-01、11.6+security-01、11.5.4+security-01、11.4.4+security-01、11.3.6+security-01、11.9+security-01、11.4.1+security-01。

运行受影响版本的组织应立即更新。

对于无法立即升级的组织,可以通过在 Grafana 配置文件(grafana.ini)中实现内容安全策略配置来提供替代缓解:

此 CSP 配置有助于阻止攻击向量,即使在易受攻击的版本。

红帽还通过安全公告发布了 Enterprise Linux 8、9 和 10 中受影响版本的安全更新。

组织还应考虑审查其匿名访问设置,并在Grafana实例前实施额外的安全控制,如反向代理。