Над 46 000 Grafana сървъри с публичен достъп все още изпълняват неактуализирани версии с критичната уязвимост CVE-2025-4123. Тази слабост позволява на атакуващи да изпълнят произволен JavaScript в браузъра на потребителя, да похитят сесиите му и да превземат профила.
Уязвимостта беше съобщена на 21 май 2025 г. и коригирана с пускането на съответните пачове. Въпреки това, според специалистите по информационна сигурност на OX Security, около 36% (около 46 506) сървъри на Grafana, достъпни онлайн, не са приложили съответната корекция.
Грешката, станала известна като “The Grafana Ghost”, позволява на нападателя да състави специално изработен URL, с който да излъже потребителя да стартира разширение (plugin) с произволно съдържание. Чрез него атакуващият може да изпълни вреден JavaScript в браузъра на жертвата.
Не са нужни администраторски права, а атаките могат да бъдат изпълнени, дори когато анонимен достъп до Grafana (без да изисква логване) е разрешен.
Посетител на злонамерен линк може:
Грешката позволява на атакуващия да заобиколи Content Security Policy (CSP) на Grafana, да използва механизми на Open Redirect и да изпълни свой плъгин с вредно съдържание.
Не всички Grafana сървъри са уязвими — зависи дали функцията за плъгини (plugins), която по подразбиране е включена, остава активна, дали потребителят дава съгласие да кликне на вредната връзка и дали сесията му с Grafana все още съществува.
Неотложната мярка, препоръчана от специалистите, е да преминете към една от следните коригирани версии:
✅ Grafana 10.4.18+security-01
✅ Grafana 11.2.9+security-01
✅ Grafana 11.3.6+security-01
✅ Grafana 11.4.4+security-01
✅ Grafana 11.5.4+security-01
✅ Grafana 11.6.1+security-01
✅ Grafana 12.0.0+security-01
CVE-2025-4123 представлява сериозна рискова точка за всички организации, използващи Grafana с уязвими версии. Екипите по информационна сигурност трябва да приложат съответните ъпдейти възможно най-скоро, за да избегнат потенциално превземане на профили и услуги.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
