Grafana 未授权跨站点脚本攻击漏洞 (CVE-2025-4123)预警
1、基本情况
Grafana 是一款开源的跨平台数据可视化与监控分析工具,广泛应用于实时指标展示、日志分析和运维监控领域。
近日,监测发现 Grafana 官方发布安全公告,修复了 Grafana 未授权跨站点脚本攻击漏洞 (CVE-2025-4123),该漏洞是由于客户端路径遍历和开放重定向的结合造成的。这使得攻击者能够将用户重定向到一个托管前端插件的网站,该插件将执行任意的 JavaScript,如果安装了 Grafana 图像渲染器插件,则可以利用开放重定向来实现完全读取的 SSRF。
对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
⚫ 11.2<=Grafana Grafana<11.2.9+security-01
⚫ 11.3<=Grafana Grafana<11.3.6+security-01
⚫ 11.4<=Grafana Grafana<11.4.4+security-01
⚫ 11.5<=Grafana Grafana<11.5.4+security-01
⚫ 11.6<=Grafana Grafana<11.6.1+security-01
⚫ 12.0<=Grafana Grafana<12.0.0+security-01
3、处置建议
目前这些漏洞已经修复,受影响用户可升级到安全版本。
下载地址:https://grafana.com/blog/2025/05/21/grafana-security-release-high-severity-security-fix-for-cve-2025-4123/
4、参考链接
1) https://grafana.com/blog/2025/05/21/grafana-security-release-high-severity-security-fix-for-cve-2025-4123/