Grafana跨站脚本漏洞可能导致任意代码执行

本文详细分析了Grafana平台中存在的一个高危安全漏洞(CVE-2025-4123),该漏洞结合客户端路径遍历和开放重定向可实现XSS攻击,可能导致恶意插件执行和账户接管,影响版本10.4.19之前的Grafana实例。

MS-ISAC 安全通告编号:2025-058

发布日期: 2025年6月17日

概述

Grafana中存在一个漏洞,可能导致任意代码执行。Grafana是一个用于可视化和分析时间序列数据的开源平台。它允许用户连接到各种数据源,查询和转换数据,并创建交互式仪表板来监控和探索指标、日志和跟踪。成功利用该漏洞可能允许攻击者运行恶意插件并在不需要提升权限的情况下接管用户账户。配置为在系统上具有较少用户权限的用户账户可能比具有管理用户权限的用户受到的影响更小。

威胁情报

OX Security研究团队利用了一个有效的漏洞利用程序,并成功演示了对本地Grafana实例的账户接管。结果表明,该漏洞不仅可利用,而且容易武器化,对运行受影响版本的组织构成重大风险。

受影响系统

Grafana 10.4.19之前版本

风险等级

政府机构:

  • 大型和中型政府实体:高
  • 小型政府实体:高

企业:

  • 大型和中型企业实体:高
  • 小型企业实体:高

家庭用户: 不适用

技术摘要

Grafana中存在一个漏洞,可能导致任意代码执行。漏洞详情如下:

战术: 执行(TA0002) 技术: 用户执行:恶意文件(T1204)

存在一个跨站脚本(XSS)漏洞,由客户端路径遍历和开放重定向组合导致。这允许攻击者将用户重定向到托管前端插件的网站,该插件将执行任意JavaScript。此漏洞不需要编辑器权限,如果启用了匿名访问,XSS将起作用。如果安装了Grafana图像渲染器插件,可以利用开放重定向实现完整的读取SSRF。该漏洞还通过利用本地使用的域名和端口为本地服务制作有效负载来影响本地运行的Grafana实例。(CVE-2025-4123)

成功利用可能允许攻击者运行恶意插件并在不需要提升权限的情况下接管用户账户。配置为在系统上具有较少用户权限的用户账户可能比具有管理用户权限的用户受到的影响更小。

建议措施

我们建议采取以下行动:

  • 在适当测试后立即将Grafana提供的适当更新应用到易受攻击的系统。(M1051:更新软件)

    • 保障措施7.1:建立和维护漏洞管理流程:为企业资产建立和维护文档化的漏洞管理流程。每年或在发生可能影响此保障措施的重大企业变更时审查和更新文档。
    • 保障措施7.4:执行自动化应用程序补丁管理:每月或更频繁地通过自动化补丁管理对企业资产执行应用程序更新。
    • 保障措施7.7:修复检测到的漏洞:每月或更频繁地根据修复流程通过流程和工具修复软件中检测到的漏洞。
    • 保障措施9.1:确保仅使用完全支持的浏览器和电子邮件客户端:确保企业仅允许完全支持的浏览器和电子邮件客户端执行,仅使用供应商提供的最新版本浏览器和电子邮件客户端。

  • 对所有系统和服务应用最小权限原则。以非特权用户(无管理权限)身份运行所有软件,以减少成功攻击的影响。(M1026:特权账户管理)

    • 保障措施4.7:管理企业资产和软件上的默认账户:管理企业资产和软件上的默认账户,如root、administrator和其他预配置的供应商账户。示例实现包括:禁用默认账户或使其无法使用。
    • 保障措施5.4:将管理员权限限制为专用管理员账户:将管理员权限限制为企业资产上的专用管理员账户。从用户的主要非特权账户执行一般计算活动,如互联网浏览、电子邮件和生产力套件使用。

  • 将代码执行限制到端点系统上或传输至端点系统的虚拟环境。(M1048:应用程序隔离和沙箱)

  • 使用功能检测和阻止可能导致或指示软件漏洞利用发生的条件。(M1050:漏洞利用保护)

    • 保障措施10.5:启用反漏洞利用功能:在可能的情况下,在企业资产和软件上启用反漏洞利用功能,如Microsoft®数据执行预防(DEP)、Windows® Defender漏洞利用防护(WDEG)或Apple®系统完整性保护(SIP)和Gatekeeper™。

  • 限制使用某些网站,阻止下载/附件,阻止JavaScript,限制浏览器扩展等。(M1021:限制基于Web的内容)

    • 保障措施9.2:使用DNS过滤服务:在所有企业资产上使用DNS过滤服务以阻止访问已知恶意域名。
    • 保障措施9.3:维护和执行基于网络的URL过滤器:强制执行和更新基于网络的URL过滤器,以限制企业资产连接到潜在恶意或未批准的网站。示例实现包括基于类别的过滤、基于声誉的过滤或使用阻止列表。对所有企业资产强制执行过滤器。
    • 保障措施9.6:阻止不必要的文件类型:阻止不必要的文件类型尝试进入企业的电子邮件网关。

  • 告知和教育用户有关电子邮件或附件中包含的超链接带来的威胁,特别是来自不受信任来源的威胁。提醒用户不要访问不受信任的网站或遵循未知或不受信任来源提供的链接。(M1017:用户培训)

    • 保障措施14.1:建立和维护安全意识计划:建立和维护安全意识计划。安全意识计划的目的是教育企业员工如何以安全的方式与企业资产和数据交互。在雇佣时进行培训,并至少每年进行一次。每年或在发生可能影响此保障措施的重大企业变更时审查和更新内容。
    • 保障措施14.2:培训员工识别社会工程攻击:培训员工识别社会工程攻击,如网络钓鱼、 pretexting和尾随。

参考资料

  • CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-4123
  • Grafana:https://grafana.com/blog/2025/05/23/grafana-security-release-medium-and-high-severity-security-fixes-for-cve-2025-4123-and-cve-2025-3580/
  • OX.Security:https://www.ox.security/confirmed-critical-the-grafana-ghost-exposes-36-of-public-facing-instances-to-malicious-account-takeover/#poc
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次