微步情报局获取到Grafana 开放重定向与服务端请求伪造漏洞情报(CVE-2025-4123、CNNVD-202505-3274)。该漏洞由于Grafana中路由解析机制存在缺陷导致开放重定向漏洞。
该漏洞在Grafana 启用匿名访问时受影响(启用身份认证的情况下不受影响),从实际影响来看共两种利用方式:
-
与客户端路径遍历结合,造成跨站脚本攻击,最终实现账户接管。
-
当Grafana启用了图像渲染器插件(插件会回显用户指定的路由的HTML),本漏洞结合该插件可实现读取型服务端请求伪造。
该漏洞利用难度低,且技术细节已公开,建议受影响用户尽快修复。
综合处置优先级:中
|
基本信息 |
微步编号 |
XVE-2025-18609 |
|
|
|
|
|
|
|
|
|
|
|
|
|
利用条件评估 |
利用漏洞的网络条件 |
远程 |
|
是否需要绕过安全机制 |
不需要 | |
|
对被攻击系统的要求 |
无 | |
|
利用漏洞的权限要求 |
无需权限 | |
|
是否需要受害者配合 |
否 | |
|
利用情报 |
POC是否公开 |
|
| 已知利用行为 |
|
|
产品名称 |
Grafana|Grafana |
|
受影响版本 |
version<12.0.0+security-01 version<11.6.1+security-01 version<11.5.4+security-01 version<11.4.4+security-01 version<11.3.6+security-01 version<11.2.9+security-01 version<10.4.18+security-01 |
|
有无修复补丁 |
有 |
官方修复方案:
Grafana官方已发布修复版本,请尽快更新至不受影响版本:
https://grafana.com/blog/2025/05/21/grafana-security-release-high-severity-security-fix-for-cve-2025-4123/
临时缓解措施:
-
添加默认内容安全策略配置。具体操作可参考:
https://grafana.com/docs/grafana/latest/setup-grafana/configure-security/configure-security-hardening/#add-a-content-security-policy
-
禁用Grafana 图像渲染器插件
-
禁用匿名访问:在 grafana.ini 文件中设置 [auth.anonymous] enabled = false
微步威胁防御系统OneSIG已支持防护,规则ID:3100025029。
原文始发于微信公众号(微步在线研究响应中心):漏洞通告 | Grafana 开放重定向与服务端请求伪造漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论