La vulnerabilidad de secuencias de comandos entre sitios cruzados (XSS) de Grafana permite que un atacante redirige a los usuarios a un sitio web malicioso.
La vulnerabilidad rastreada como CVE-2025-4123 recibió una puntuación CVSS de 7.6 (alta), lo que permite a un atacante explotar el recorrido de la ruta del cliente, realizar redireccionamientos abiertos y ejecutar el código de JavaScript arbitrario a través de un complemento front-end personalizado.
La vulnerabilidad estaba originalmente programada para parchear el 22 de mayo, pero se lanzó temprano después de que la vulnerabilidad se filtró al público.
El investigador de seguridad Álvaro Barada descubrió e informó una vulnerabilidad en Grafana a través del programa de recompensas de errores de la compañía.
Vulnerabilidad de Grafana XSS
Las vulnerabilidades son particularmente peligrosas. Porque a diferencia de muchas otras vulnerabilidades de XSS, no hay necesidad de aprovechar los permisos del editor.
Si el acceso anónimo está habilitado en su instancia de Grafana, el ataque XSS funciona sin requerir autenticación.
Esto amplía en gran medida la posible superficie de ataque para muchas organizaciones que usan Grafana para su solución de vigilancia.
La vulnerabilidad afecta a Grafana OSS y Grafana Enterprise, que se remonta a Grafana 8 al menos, en todas las versiones no compatibles actualmente.
Sin embargo, las instancias de la nube de Grafana no se ven afectadas por esta vulnerabilidad, como se ve en Grafana Lab.
El impacto técnico de esta vulnerabilidad se extiende más allá de los simples ataques XSS. Cuando se combina con el complemento de renderizador de imágenes Grafana, se puede abusar como una falsificación de solicitud del lado del servidor (SSRF) que lee completamente las vulnerabilidades.
Esta combinación permite a los atacantes exponer potencialmente servicios internos y metadatos en la nube, creando riesgos de seguridad significativos para las organizaciones afectadas.
La explotación exitosa puede conducir al secuestro de sesiones o la adquisición completa de cuentas. Esta vulnerabilidad resulta del manejo inapropiado de rutas suplementadas por el usuario dentro de un complemento front-end personalizado, creando XSS y abiertos problemas de redirección.
Las vulnerabilidades siguen un patrón similar a los problemas de seguridad de Grafana anteriores, en los cuales se han explotado las vulnerabilidades de recorrer y redirigir la ruta.
En 2021, Grafana enfrentó una vulnerabilidad similar de día cero (CVE-2021-43798) que permite a los atacantes pasar fuera de la carpeta de Grafana y acceder a los archivos restringidos de forma remota.
Productos de inducción del factor de riesgo – Grafana Oss & Enterprise: Versión 8.0+ a 12.0.0 – Red Hat Enterprise Linux: 8 (El8), 9 (EL9), 10 (El10) Impact -Cross Site Scripting (XSS) Prerrequisito – Acceso anónimo efectivo con Grafana – Uso de complementos front -ends personalizados – Imagen de Grafana de Grafana de Grafana (para ssrfalation). (Alto)
Parches disponibles
Grafana Labs ha lanzado versiones parchadas de todos los lanzamientos compatibles: Grafana 12.0.0+Security-01, 11.6.1+Security-01, 11.5.4+Security-01, 11.4.4+Security-01, 11.3.6+Security-01, 11.2.9+Security-01 y 10.4.18+Security-01.
Las organizaciones que ejecutan la versión afectada deben actualizarse de inmediato.
Para las organizaciones que no pueden actualizarse de inmediato, la mitigación alternativa está disponible mediante la implementación de la configuración de la política de seguridad de contenido en el archivo de configuración de Grafana (Grafana.ini).
Esta configuración de CSP ayuda a bloquear vectores de ataque incluso en versiones vulnerables.
Red Hat también está lanzando actualizaciones de seguridad para versiones afectadas de Enterprise Linux 8, 9 y 10 a través de su aviso de seguridad.
Las organizaciones también deben considerar verificar la configuración de acceso anónimo e implementar controles de seguridad adicionales, como el proxy inverso, frente a las instancias de Grafana.
Equipar equipos de SOC con un análisis de amenazas profundas para respuestas más rápidas -> Obtenga una licencia de sandbox adicional de forma gratuita
