关键词
安全漏洞
2025年5月21日,Grafana Labs 发布安全更新,修复了由安全研究人员 Alvaro Balada 报告的一个严重漏洞,编号为 CVE-2025-4123。该漏洞存在于 Grafana 客户端路径解析与重定向逻辑中,允许攻击者通过构造恶意链接,引导用户加载并执行伪造插件,实现账户接管。目前已有超过 46,000 个公网暴露的 Grafana 实例仍未打补丁,面临实质性风险。
Grafana 是广泛部署的开源可视化平台,被用于监控基础设施、云服务和应用性能。此次漏洞主要影响其客户端 JavaScript 路由逻辑,并可被用来绕过 URL 规范化、内容安全策略(CSP)等机制,从而执行跨站脚本(XSS)攻击。
研究人员指出,该漏洞不需要攻击者具备系统权限,也不要求目标系统启用身份认证即可触发,攻击链条包括:构造具有“路径穿越 + 开放重定向”特征的恶意 URL、诱导活跃登录用户点击、加载伪造插件、在浏览器中执行任意 JavaScript 代码。最终效果包括用户会话劫持、重置密码、修改邮箱,甚至执行 SSRF 读取内网资源(如存在 Image Renderer 插件)。
尽管 Grafana 默认启用了一定的 CSP 安全策略,但其客户端侧执行特性使得该漏洞可绕过防护。攻击场景不依赖服务器行为,而是完全由浏览器渲染逻辑执行,因此防御难度更高。
据应用安全公司 OX Security 的测算,目前全球约有 128,864 个可被探测的 Grafana 实例,其中仍有 46,506 个(约 36%)运行受影响版本,漏洞仍可被利用。该公司称本漏洞为 “The Grafana Ghost”,并通过实证验证漏洞的可武器化能力,包括插件加载链条、用户邮箱替换与会话持久劫持。
该漏洞危害严重,尽管需要用户点击并处于活跃登录状态,但考虑到 Grafana 部署在许多自动化平台、CI/CD 系统、运维面板和监控大屏中,管理员与开发者往往处于长时间保持登录状态,攻击者可通过钓鱼邮件、社交工程等方式引导访问,从而构成实际风险。
目前,Grafana 官方已发布多个版本补丁,推荐所有管理员立即升级至以下版本之一:
10.4.18+security-01
11.2.9+security-01
11.3.6+security-01
11.4.4+security-01
11.5.4+security-01
11.6.1+security-01
12.0.0+security-01
建议进一步采取的安全措施还包括:
临时关闭插件功能(如不依赖)
禁用匿名访问
启用更严格的反向代理 URL 验证与 CSP 白名单
定期强制刷新用户会话并审计活跃连接
Grafana Ghost 暴露出客户端框架在安全逻辑上的设计薄弱,也提醒各类 DevOps 工具厂商必须加强对前端路径处理、URL 解析与插件机制的审查。对于依赖 Grafana 的企业,应尽快排查受影响版本并制定紧急更新策略。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.