Более 46 000 доступных в глобальной сети экземпляров Grafana подвержены уязвимости открытого перенаправления на стороне клиента, которая позволяет запустить вредоносный плагин и захватить учетную запись.

CVE-2025-4123 затрагивает несколько версий, была обнаружена багхантером Альваро Баладой и устранена в обновлениях, выпущенных Grafana Labs 21 мая.

Несмотря на это, по данным исследователей из OX Security, называющих уязвимость The Grafana Ghost, более трети всех экземпляров Grafana не были исправлены до настоящего времени.

Идентифицировав версии, уязвимые для атаки, ресерчеры обнаружили 128 864 экземпляров в сети, из которых 46 506 все еще не обновлены, что соответствует 36% от общего числа.

Глубокий анализ CVE-2025-4123, проведенный OX Security, показал, что с помощью поэтапной эксплуатации, сочетая обход пути на стороне клиента с механизмами открытого перенаправления, злоумышленники могут заставить жертв перейти по URL-адресам, которые приведут к загрузке вредоносного плагина Grafana с сайта, контролируемого злоумышленником.

Исследователи утверждают, что вредоносные ссылки могут использоваться для выполнения произвольного JavaScript в браузере пользователя.

Эксплойт при этом не требует повышенных привилегий и может работать даже при включенном анонимном доступе.

Уязвимость позволяет злоумышленникам перехватывать сеансы пользователей, изменять учетные данные и, в случаях, когда установлен плагин Grafana Image Renderer, выполнять SSRF для чтения внутренних ресурсов.

Несмотря на то, что политика безопасности контента (CSP) по умолчанию в Grafana обеспечивает некоторую защиту, она не предотвращает эксплуатацию из-за ограничений в обеспечении безопасности на стороне клиента.

Разработанный OX Security эксплойт демонстрирует, что уязвимость CVE-2025-4123 может быть использована на стороне клиента для обхода современных механизмов нормализации браузера с помощью логики маршрутизации JavaScript, встроенной в Grafana.

Это позволяет злоумышленникам использовать несоответствия в обработке URL-адресов для обслуживания вредоносных плагинов, которые, в свою очередь, изменяют адреса электронной почты пользователей, что упрощает задачу взлома учетных записей посредством сброса пароля.

Для эксплуатации CVE-2025-4123 требуется ряд условий, включая взаимодействие с пользователем, активный сеанс пользователя при переходе жертвы по ссылке и наличие включенной функции плагина.

Однако в силу достаточно большого количества выявленных уязвимых экземпляров в сочетании с отсутствием необходимости аутентификации открывается значительная поверхность для атак.

Для снижения риска эксплуатации, администраторам Grafana рекомендуется обновиться до версий 10.4.18+security-01, 11.2.9+security-01, 11.3.6+security-01, 11.4.4+security-01, 11.5.4+security-01, 11.6.1+security-01 и 12.0.0+security-01.