Grafana · Grafana · CVE-2025-4123
**Nome do Software Vulnerável e Versões Afetadas**
Versões do Grafana anteriores a 12.0.1
**Descrição**
O Grafana está suscetível a uma vulnerabilidade de cross-site scripting (XSS) decorrente de uma combinação de um path traversal no cliente e um redirecionamento aberto. Isso permite que atacantes redirecionem usuários para um site malicioso que hospeda um plugin de frontend capaz de executar JavaScript arbitrário. A vulnerabilidade não requer permissões de editor e é explorável mesmo com o acesso anônimo habilitado. Se o plugin Grafana Image Renderer estiver instalado, um SSRF de leitura completa pode ser alcançado. A Content-Security-Policy (CSP) padrão no Grafana pode oferecer alguma mitigação, mas não é totalmente eficaz. Mais de 46.000 instâncias do Grafana foram relatadas como não corrigidas e vulneráveis. A vulnerabilidade permite potencial tomada de conta e execução remota de código.
**Recomendações**
Atualize o Grafana para a versão 12.0.1 ou posterior.