Cross-site scripting-sårbarhed i Grafana

Eskil Sørensen

06.16.2025 13:05

36 pct. af de offentligt vendte instanser er pt. sårbare.

Tilbage i maj blev der observeret en cross-site scripting (XSS)-sårbarhed i Grafana som potentielt kan føre til, at en ondsindet aktør kan kapre brugersessioner og ændre kontooplysninger på en sårbar enhed.

Sårbarheden har id'et EUVD-2025-16107 (CVE-2025-4123) og en CVSS-score på 7,6.

Det fremgår af en omtale som sikkerhedsfirmaet OX Security har på sin hjemmeside, at 36 pct. 36 pct. af de offentligt vendte instanser af Grafana er sårbare, dvs. mange mangler stadig at opdatere deres installationer.

Udnyttelse kan ske ved at angribere lokker ofre til at klikke på URLs, der fører til indlæsning af et ondsindet Grafana-plugin, der er kontrolleret af trusselsaktøren. De ondsindede links kan bruges til at udføre vilkårlig JavaScript i brugerens browser gennem en række udnyttelsestrin, der kombinerer klient-side "path traversal" med åbne omdirigeringsmekanikker.

Denne sårbarhed kræver ikke redaktørrettigheder, og hvis anonym adgang er aktiveret, vil XSS fungere.

Hvis Grafana Image Renderer-pluginet er installeret, er det muligt at udnytte den åbne omdirigering for at opnå en fuld læsning af SSRF.

De berørte version af Grafana er følgende:

Grafana - 10.4.18+security-01 før 10.4.19
Grafana - 11.2.9+security-01 før 11.2.10
Grafana - 11.3.6+security-01 før 11.3.7
Grafana - 11.4.4+security-01 før 11.4.5
Grafana - 11.5.4+security-01 før 11.5.5
Grafana - 11.6.1+security-01 før 11.6.2
Grafana - 12.0.0+security-01 før 12.0.1

Der er ikke rapporteret om aktiv udnyttelse, men som vanligt anbefales det at opdatere de sårbare installationer med det samme

Læs mere

https://www.ox.security/confirmed-critical-the-grafana-ghost-exposes-36-of-public-facing-instances-to-malicious-account-takeover/

Sårbarhed