PT-2025-21891 · Grafana+7 · Grafana+7

Alvaro Balada

+1

·

Publicado

2025-05-15

·

Atualizado

2026-06-07

·

CVE-2025-4123

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do Software Vulnerável e Versões Afetadas Versões do Grafana anteriores a 12.0.1
Descrição O Grafana está suscetível a uma vulnerabilidade de cross-site scripting (XSS) decorrente de uma combinação de um path traversal no cliente e um redirecionamento aberto. Isso permite que atacantes redirecionem usuários para um site malicioso que hospeda um plugin de frontend capaz de executar JavaScript arbitrário. A vulnerabilidade não requer permissões de editor e é explorável mesmo com o acesso anônimo habilitado. Se o plugin Grafana Image Renderer estiver instalado, um SSRF de leitura completa pode ser alcançado. A Content-Security-Policy (CSP) padrão no Grafana pode oferecer alguma mitigação, mas não é totalmente eficaz. Mais de 46.000 instâncias do Grafana foram relatadas como não corrigidas e vulneráveis. A vulnerabilidade permite potencial tomada de conta e execução remota de código.
Recomendações Atualize o Grafana para a versão 12.0.1 ou posterior.

Exploit

Correção

RCE

XSS

Open Redirect

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79CWE-601CWE-284

Identificadores relacionados

ALSA-2025:7893
ALSA-2025:7894
ALSA-2025_7893
ALSA-2025_7894
ALT-PU-2025-10637
ALT-PU-2025-10789
BDU:2025-06002
BDU:2025-06809
BIT-GRAFANA-2025-4123
CESA-2025_7894
CVE-2025-4123
GHSA-Q53Q-GXQ9-MGRJ
GO-2025-3704
INFSA-2025_7893
INFSA-2025_7894
OPENSUSE-SU-2025:15171-1
OPENSUSE-SU-2025:15179-1
OPENSUSE-SU-2026:20654-1
RHSA-2025:7892
RHSA-2025:7893
RHSA-2025:7894
RHSA-2025:8665
RHSA-2025:8679
RHSA-2025:8680
RHSA-2025:8681
RHSA-2025:8683
RHSA-2025:8684
RHSA-2025:8685
RHSA-2025_7893
RHSA-2025_7894
SUSE-SU-2025:01985-1

Produtos afetados

Alt Linux
Almalinux
Centos
Grafana
Red Hat
Red Os
Rocky Linux
Suse