Más de 46,000 instancias de Grafana orientadas en Internet permanecen no relacionadas y están expuestas a una vulnerabilidad de la redirección abierta en el lado del cliente que permite la ejecución de un complemento malicioso y una compra.
El defecto se sigue como CVE-2025-4123 Y tiene un impacto en varias versiones de la plataforma de código abierto utilizada para monitorear y ver las mediciones de infraestructura y aplicación.
La vulnerabilidad fue descubierta por Bug Bounty Hunter Álvaro Balada y fue discutido en Actualizaciones de seguridad Ese Grafana Labs fue lanzado el 21 de mayo.
Sin embargo, a partir de la redacción de esto, más de un tercio de todos los cuerpos de Grafana factibles en Internet público no se han corregido, según investigadores de la Sociedad de Aplicación de Seguridad de Ox, que llama al error como “el fantasma de Grafana”.
Los analistas declararon que su trabajo se centró en demostrar la capacidad de armamento para la observación de Balada.
Después de identificar ataques vulnerables contra el ataque, evaluaron la exposición al correlacionar los datos con la distribución de la plataforma a través del ecosistema.
Encontraron 128,864 instancias expuestas en línea, 46,506 aún realizando versiones vulnerables que aún pueden ser explotadas. Esto corresponde a un porcentaje de alrededor del 36%.
Fuente: BleepingCompute
El análisis en profundidad de la seguridad de buey de la CVE-2025-4123 reveló que, gracias a una serie de etapas operativas que combinan el cruce de la ruta del lado del cliente con mecanismos de redirección abierta, los atacantes pueden atraer a las víctimas a hacer clic en URL que conducen a cargar un complemento de Grafana malicioso desde un sitio controlado por el actor de amenaza.
Los enlaces maliciosos podrían usarse para ejecutar JavaScript arbitrario en el navegador de usuarios, el Los investigadores dicen.
Fuente: Seguridad de buey
La hazaña no requiere altos privilegios y puede funcionar incluso si el acceso anónimo se activa.
El defecto permite a los atacantes desviar las sesiones de usuario, modificar la información de identificación de la cuenta y, en los casos en que el complemento de representación de imágenes de Grafana está instalado, haga un servidor en el servidor en el (SSRF) para leer los recursos internos.
Aunque la Política de seguridad de contenido predeterminada (CSP) en Grafana ofrece una cierta protección, no evita la explotación debido a las limitaciones de la aplicación del lado del cliente.
La hazaña de Ox Security muestra que CVE-2025-4123 se puede usar en el lado del cliente y se puede usar para evitar los mecanismos de normalización del navegador moderno por la lógica nativa de enrutamiento JavaScript de Grafana.
Esto permite a los atacantes utilizar las inconsistencias de gestión de URL para servir a los complementos maliciosos, lo que a su vez modifica las direcciones de correo electrónico de los usuarios, lo que hace que la cuenta haga malversación de fondos a través de los restos de la contraseña.
Aunque CVE-2025-4123 tiene varios requisitos operativos, como la interacción del usuario, una sesión de usuario activa cuando la víctima hace clic en el enlace y la característica del complemento se activa (se activa de forma predeterminada), la gran cantidad de instancias expuestas y la falta de necesidad de autenticación crean una superficie de ataque significativa.
Para mitigar el riesgo de explotación, se recomienda ir a los administradores de Grafana a las versiones 10.4.18 + Security-01, 11.2.9 + Security-01, 11.3.6 + Security-01, 11.4.4 + Security-01, 11.5.4 + Security-01, 11.6.1 + Security-01 y 12.0 Security-01.
El correctivo significaba scripts complejos, largas horas y ejercicios interminables de fuego. No más.
En esta nueva guía, los dientes descomponen la forma en que las organizaciones modernas de TI están ganando energía con la automatización. Parche más rápido, reduzca los costos generales y se centre en el trabajo estratégico, no se requiere un guión complejo.