超過46000個暴露在互聯網上的Grafana實例未打補丁，面臨客戶端開放重定向漏洞的威脅，該漏洞允許執行惡意插件并進行賬戶接管。

該漏洞被追蹤為CVE-2025-4123，并影響用于監控和可視化基礎設施和應用程序指標的多個版本的開源平臺。這個漏洞是由漏洞賞金獵人Alvaro Balada發現的，并在Grafana Labs5月21日發布的安全更新中得到了解決。

然而，據應用安全公司OX security的研究人員稱，截至撰寫本文時，超過三分之一的公共互聯網上可訪問的Grafana實例尚未打補丁，他們將該漏洞稱為“Grafana Ghost”。

分析師表示，他們的工作重點是展示將Balada的發現武器化的能力。在確定易受攻擊的版本后，他們通過將數據與平臺在整個生態系統中的分布相關聯來評估風險。

他們發現128864個實例在線暴露，其中46506個實例仍在運行可被利用的易受攻擊版本。這相當于約36%的百分比。

OX Security對CVE-2025-4123的深入分析發現，通過一系列利用步驟，結合客戶端路徑遍歷和開放重定向機制，攻擊者可以引誘受害者點擊url，從而從威脅行為者控制的網站加載惡意Grafana插件。

研究人員說，惡意鏈接可以用來在用戶的瀏覽器中執行任意JavaScript。

開發過程

該漏洞不需要提升權限，即使啟用了匿名訪問也可以發揮作用。該漏洞允許攻擊者劫持用戶會話，更改帳戶憑證，并且，在安裝了Grafana Image Renderer插件的情況下，執行服務器端請求偽造（SSRF）來讀取內部資源。

雖然Grafana默認的內容安全策略（CSP）提供了一些保護，但由于客戶端執行的限制，它不能防止利用。

OX Security的漏洞證明了CVE-2025-4123可以在客戶端被利用，并且可以通過原生到Grafana的JavaScript路由邏輯來繞過現代瀏覽器規范化機制。

這使得攻擊者可以利用URL處理不一致來提供惡意插件，從而修改用戶的電子郵件地址，從而通過重置密碼來劫持帳戶。

盡管CVE-2025-4123有幾個攻擊要求，比如用戶交互，受害者點擊鏈接時的活躍用戶會話，以及啟用插件功能（默認啟用），但大量暴露的實例和缺乏身份驗證的需要創造了一個重要的攻擊面。

為了降低被利用的風險，建議Grafana管理員升級到10.4.18+security-01、11.2.9+security-01、11.3.6+security-01、11.4.4+security-01、11.5.4+security-01、11.6.1+security-01和12.0.0+security-01版本。

參考及來源：https://www.bleepingcomputer.com/news/security/over-46-000-grafana-instances-exposed-to-account-takeover-bug/