Grafana 紧急提前修复已被公开的XSS 0day漏洞

该XSS漏洞结合了一个客户端路径遍历漏洞和自定义前端插件中的一个开放重定向漏洞。该漏洞可导致攻击者将不知情的用户重定向至执行任意 JavaScript 代码的恶意网站，有可能劫持会话甚至导致账户遭完全接管。

Grafana 发布安全公告指出，“该XSS漏洞可导致用户被重定向至外部网站并在浏览器中执行恶意 JavaScript。”和常见的需要编辑级别权限的XSS漏洞不同，只要启用了匿名访问权限，无需认证，CVE-2025-4123即可遭利用。另外，如果安装了 Grafana Image Renderer 插件，攻击面会扩展到完全的读取服务器端请求伪造 (SSRF) 场景。该安全公告提到，“和许多其它的XSS漏洞不同，该漏洞无需编辑者权限。如启用了匿名访问权限，则会启动XSS。”

该漏洞影响所有受支持的 Grafana 版本，包括：Grafana 11.2至12.0版本，以及追溯至Grafana 8的所有不受支持汉本。值得注意的是，Grafana Cloud 用户不受影响。

Grafana Labs迅速行动缓解该问题。尽管例行的补丁周期按计划在当地时间5月22日发布，但由于该漏洞遭公开披露，因此Grafana 提前一天推出修复方案。该安全公告提醒称，“我们在计划的前一天公开了CVE-2025-4123的安全补丁，因为我们发现该漏洞已遭公开。”

建议用户立即升级 Grafana 版本，或者启用严格的内容安全策略，助力缓解该风险。Grafana Labs已提供官方 CSP 配置指南，以加固部署。管理员应立即采取措施，修复受影响系统并审计访问权限和插件配置。