聚焦源代码安全,网罗国内外最新资讯!
该漏洞的编号是CVE-2025-4123,影响用于监控和可视化基础设施和应用度量的 Grafana 多个版本。该漏洞由赏金猎人 Alvaro Balada 发现,已在 Grafana Labs 于5月21日发布的安全更新中修复。
然而,OX Security公司的研究人员将其称为 “Grafana 幽灵”,并提到在本文成稿期间,超过三分之一的未修复Grafana 实例可从公开互联网触达。研究人员找到易受该攻击的版本后,在该生态系统内将数据与该平台的分发相关联,分析了漏洞的暴露情况。他们发现了128864个被暴露的实例,其中46506个实例仍然在运行易受攻击的仍可被利用的版本,大概占36%。
OX Security公司的研究人员深入分析该漏洞后发现,通过一系列利用步骤,组合利用客户端的路径遍历漏洞和开放重定向机制,攻击者可诱骗受害者点击URL,从受该威胁人员控制的网站加载恶意 Grafana 插件。该恶意链接可用于在受害者浏览器中执行任意 JavaScript。无需提权,该利用即可执行,甚至启用了匿名访问权限也可执行。
该漏洞可导致攻击者劫持用户会话、更改账户凭据以及在安装 Grafana Image Renderer 插件的情况下,执行服务器端请求伪造 (SSRF) 漏洞,读取内部资源。
虽然 Grafana 中的默认内容安全策略 (CSP) 提供了一些防护措施,但由于客户端执行的限制,它无法阻止利用。研究人员的利用表明,CVE-2025-4123可在客户端利用且可通过Grafana的原生 JavaScript 路由逻辑来绕过现代浏览器标准化机制。这就导致攻击者利用 URL 处理不一致来处理恶意插件,从而修改用户邮件地址,通过密码重置来劫持账号。
尽管利用 CVE-2025-4123需要满足多项要求,如用户交互、受害者点击连接时需要一个活跃用户会话以及启用插件特性(默认启用),大量被暴露实例和缺少认证要求,造成了庞大的攻击面。要缓解利用风险,建议 Grafana 管理员升级至 10.4.18+security-01、11.2.9+security-01、11.3.6+security-01、11.4.4+security-01、11.5.4+security-01、11.6.1+security-01和 12.0.0+security-01版本。
https://www.bleepingcomputer.com/news/security/over-46-000-grafana-instances-exposed-to-account-takeover-bug/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~