超4.6万个 Grafana 实例易受账户接管漏洞影响

超过4.6万个面向互联网的 Grafana 实例仍未修复，且易受客户端开放重定向漏洞影响，可导致执行恶意插件和账户接管后果。

该漏洞的编号是CVE-2025-4123，影响用于监控和可视化基础设施和应用度量的 Grafana 多个版本。该漏洞由赏金猎人 Alvaro Balada 发现，已在 Grafana Labs 于5月21日发布的安全更新中修复。

然而，OX Security公司的研究人员将其称为 “Grafana 幽灵”，并提到在本文成稿期间，超过三分之一的未修复Grafana 实例可从公开互联网触达。研究人员找到易受该攻击的版本后，在该生态系统内将数据与该平台的分发相关联，分析了漏洞的暴露情况。他们发现了128864个被暴露的实例，其中46506个实例仍然在运行易受攻击的仍可被利用的版本，大概占36%。

OX Security公司的研究人员深入分析该漏洞后发现，通过一系列利用步骤，组合利用客户端的路径遍历漏洞和开放重定向机制，攻击者可诱骗受害者点击URL，从受该威胁人员控制的网站加载恶意 Grafana 插件。该恶意链接可用于在受害者浏览器中执行任意 JavaScript。无需提权，该利用即可执行，甚至启用了匿名访问权限也可执行。

该漏洞可导致攻击者劫持用户会话、更改账户凭据以及在安装 Grafana Image Renderer 插件的情况下，执行服务器端请求伪造 (SSRF) 漏洞，读取内部资源。

虽然 Grafana 中的默认内容安全策略 (CSP) 提供了一些防护措施，但由于客户端执行的限制，它无法阻止利用。研究人员的利用表明，CVE-2025-4123可在客户端利用且可通过Grafana的原生 JavaScript 路由逻辑来绕过现代浏览器标准化机制。这就导致攻击者利用 URL 处理不一致来处理恶意插件，从而修改用户邮件地址，通过密码重置来劫持账号。

尽管利用 CVE-2025-4123需要满足多项要求，如用户交互、受害者点击连接时需要一个活跃用户会话以及启用插件特性（默认启用），大量被暴露实例和缺少认证要求，造成了庞大的攻击面。要缓解利用风险，建议 Grafana 管理员升级至 10.4.18+security-01、11.2.9+security-01、11.3.6+security-01、11.4.4+security-01、11.5.4+security-01、11.6.1+security-01和 12.0.0+security-01版本。