Grafana漏洞可能导致任意代码执行

MS-ISAC 公告编号：2025-058
发布日期：2025年6月17日

概述

Grafana中存在一个可导致任意代码执行的漏洞。Grafana是一个用于可视化和分析时间序列数据的开源平台，允许用户连接多种数据源、查询转换数据，并创建交互式仪表板来监控指标、日志和追踪数据。成功利用该漏洞可使攻击者运行恶意插件并接管用户账户，无需提升权限。系统权限较低的账户受影响程度可能低于具有管理权限的账户。

威胁情报

OX Security研究团队利用有效漏洞利用程序，成功演示了对本地Grafana实例的账户接管。结果表明该漏洞不仅可被利用，而且易于武器化，对运行受影响版本的组织构成重大风险。

受影响系统

Grafana 10.4.19之前版本

风险等级

• 政府机构：大中型政府实体 - 高风险
• 企业：大中型企业实体 - 高风险
• 小型政府/企业：中等风险
• 家庭用户：低风险

技术细节

漏洞类型

• 战术：执行（TA0002）
• 技术：用户执行：恶意文件（T1204）

漏洞描述

Grafana中存在一个跨站脚本（XSS）漏洞，由客户端路径遍历和开放重定向组合导致。攻击者可将用户重定向到托管前端插件的网站，该插件将执行任意JavaScript代码。此漏洞不需要编辑器权限，如果启用了匿名访问，XSS攻击将生效。

如果安装了Grafana Image Renderer插件，可利用开放重定向实现完整的读取型SSRF（服务器端请求伪造）。该漏洞还影响本地运行的Grafana实例，通过利用本地服务使用的域名和端口制作有效负载。（CVE-2025-4123）

成功利用可使攻击者运行恶意插件并接管用户账户，无需提升权限。系统权限较低的账户受影响程度可能低于具有管理权限的账户。

修复建议

1. 软件更新

• 立即对受影响系统应用Grafana提供的适当更新（M1051：更新软件）
• 保障措施7.1：建立和维护企业资产的漏洞管理流程，每年审查更新文档
• 保障措施7.4：每月通过自动补丁管理执行应用程序更新
• 保障措施7.7：每月基于修复流程修复检测到的漏洞

2. 权限管理

• 对所有系统和服务应用最小权限原则，以非特权用户身份运行所有软件（M1026：特权账户管理）
• 保障措施4.7：管理企业资产和软件的默认账户（如root、administrator）
• 保障措施5.4：将管理员权限限制在专用管理员账户

3. 安全防护

• 将代码执行限制在端点系统的虚拟环境中（M1048：应用程序隔离和沙箱）
• 使用功能检测和阻止可能导致软件利用的条件（M1050：利用保护）
• 保障措施10.5：启用反利用功能（如DEP、WDEG、SIP和Gatekeeper）

4. 网络限制

• 限制某些网站的使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等（M1021：限制基于Web的内容）
• 保障措施9.2：使用DNS过滤服务阻止已知恶意域名
• 保障措施9.3：维护和执行基于网络的URL过滤器
• 保障措施9.6：阻止不必要的文件类型进入企业电子邮件网关

5. 用户培训

• 告知和教育用户有关电子邮件或附件中超链接的威胁（M1017：用户培训）
• 保障措施14.1：建立和维护安全意识计划
• 保障措施14.2：培训员工识别社会工程攻击

参考资源

• CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-4123
• Grafana安全公告: https://grafana.com/blog/2025/05/23/grafana-security-release-medium-and-high-severity-security-fixes-for-cve-2025-4123-and-cve-2025-3580/
• OX Security研究: https://www.ox.security/confirmed-critical-the-grafana-ghost-exposes-36-of-public-facing-instances-to-malicious-account-takeover/#poc