Grafana安全漏洞公告(CVE-2025-4123)
Grafana是一款开源的数据可视化和监控工具,广泛应用于各种企业和组织,用于收集、分析和展示来自不同数据源的指标和日志数据。
漏洞详情
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
代码执行 |
高 |
2025-05-21 |
漏洞影响
在Grafana的自定义前端插件处理中发现了一个漏洞。该漏洞允许攻击者通过利用客户端路径遍历和开放重定向问题来执行跨站脚本(XSS)攻击,从而导致任意JavaScript执行和潜在的用户重定向到恶意网站。如果启用了匿名访问,则无需提升权限即可执行此攻击。
判断方法
- 前往插件中心,查看是否已安装Grafana插件以及插件版本。
图1 查看已安装插件版本
- 若插件版本小于等于1.3.2,则涉及该漏洞。
漏洞修复方案
请避免将Grafana暴露到公网,CCE将发布新版本插件修复该漏洞,请关注Grafana插件版本发布记录。