超過 46000 個暴露在互聯(lián)網(wǎng)上的 Grafana 實例未打補(bǔ)丁,面臨客戶端開放重定向漏洞的威脅,該漏洞允許執(zhí)行惡意插件并進(jìn)行賬戶接管。
該漏洞被追蹤為 CVE-2025-4123,并影響用于監(jiān)控和可視化基礎(chǔ)設(shè)施和應(yīng)用程序指標(biāo)的多個版本的開源平臺。這個漏洞是由漏洞賞金獵人 Alvaro Balada 發(fā)現(xiàn)的,并在 Grafana Labs5 月 21 日發(fā)布的安全更新中得到了解決。
然而,據(jù)應(yīng)用安全公司 OX security 的研究人員稱,截至撰寫本文時,超過三分之一的公共互聯(lián)網(wǎng)上可訪問的 Grafana 實例尚未打補(bǔ)丁,他們將該漏洞稱為 "Grafana Ghost"。
分析師表示,他們的工作重點(diǎn)是展示將 Balada 的發(fā)現(xiàn)武器化的能力。在確定易受攻擊的版本后,他們通過將數(shù)據(jù)與平臺在整個生態(tài)系統(tǒng)中的分布相關(guān)聯(lián)來評估風(fēng)險。
他們發(fā)現(xiàn) 128864 個實例在線暴露,其中 46506 個實例仍在運(yùn)行可被利用的易受攻擊版本。這相當(dāng)于約 36% 的百分比。
OX Security 對 CVE-2025-4123 的深入分析發(fā)現(xiàn),通過一系列利用步驟,結(jié)合客戶端路徑遍歷和開放重定向機(jī)制,攻擊者可以引誘受害者點(diǎn)擊 url,從而從威脅行為者控制的網(wǎng)站加載惡意 Grafana 插件。
研究人員說,惡意鏈接可以用來在用戶的瀏覽器中執(zhí)行任意 JavaScript。
該漏洞不需要提升權(quán)限,即使啟用了匿名訪問也可以發(fā)揮作用。該漏洞允許攻擊者劫持用戶會話,更改帳戶憑證,并且,在安裝了 Grafana Image Renderer 插件的情況下,執(zhí)行服務(wù)器端請求偽造(SSRF)來讀取內(nèi)部資源。
雖然 Grafana 默認(rèn)的內(nèi)容安全策略(CSP)提供了一些保護(hù),但由于客戶端執(zhí)行的限制,它不能防止利用。
OX Security 的漏洞證明了 CVE-2025-4123 可以在客戶端被利用,并且可以通過原生到 Grafana 的 JavaScript 路由邏輯來繞過現(xiàn)代瀏覽器規(guī)范化機(jī)制。
這使得攻擊者可以利用 URL 處理不一致來提供惡意插件,從而修改用戶的電子郵件地址,從而通過重置密碼來劫持帳戶。
盡管 CVE-2025-4123 有幾個攻擊要求,比如用戶交互,受害者點(diǎn)擊鏈接時的活躍用戶會話,以及啟用插件功能(默認(rèn)啟用),但大量暴露的實例和缺乏身份驗證的需要創(chuàng)造了一個重要的攻擊面。
為了降低被利用的風(fēng)險,建議 Grafana 管理員升級到 10.4.18+security-01、11.2.9+security-01、11.3.6+security-01、11.4.4+security-01、11.5.4+security-01、11.6.1+security-01 和 12.0.0+security-01 版本。
