СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
BI.ZONE
27.05.2025
#Dev#ИБ#Инфра

BI.ZONE WAF предотвращает эксплуатацию уязвимости в Grafana

BI.ZONE WAF предотвращает эксплуатацию уязвимости в Grafana

Сервис BI.ZONE WAF защищает пользователей программного обеспечения Grafana от уязвимости, которую злоумышленники могут использовать для компрометации данных пользователей, получения несанкционированного доступа к внутренним системам, повышения привилегий, захвата систем мониторинга и дальнейшего развития атаки.

Об уязвимости в свободной программной системе визуализации данных Grafana, ориентированной на информацию систем ИТ-мониторинга, стало известно 21 мая 2025 года. По шкале CVSS уязвимость CVE-2025-4123 получила оценку 7,6 балла из 10.

Уязвимость обнаружена в API системы мониторинга, а также в компоненте Grafana Image Renderer, который отвечает за рендер панелей и дашбордов в PNG-изображения. Она позволяет перенаправить пользователя на внешний сайт с вредоносным плагином, который выполняет произвольный JavaScript-код. При включенном анонимном доступе возможна межсайтовая скриптовая атака (Cross-Site Scripting, XSS), которая срабатывает без авторизации. При установленном компоненте Grafana Image Renderer возможна атака с подделкой серверного запроса (Server-Side Request Forgery, SSRF), которая позволяет киберпреступнику получить доступ к внутренним ресурсам инфраструктуры.

В сети уже появились примеры эксплуатации уязвимости (PoC). Это означает, что у злоумышленников появилась возможность инициировать нелегитимную активность, следуя готовой инструкции. В результате число атак на уязвимую программную систему может значительно увеличиться.

Разработчики Grafana устранили уязвимость в обновлениях безопасности для версий 10.4.18, 11.2.9, 11.3.6, 11.4.4, 11.5.4, 11.6.1, 12.0.0 и выше. Более ранние версии остаются уязвимыми. Если компания не готова оперативно перейти на новую версию, BI.ZONE WAF поможет в защите от атак с эксплуатацией CVE-2025-4123. Сервис обеспечивает многоуровневую защиту веб‑приложений и API, блокируя попытки эксплуатации известных уязвимостей и противодействуя ботнет‑активности. Команда решения покрыла уязвимые сценарии с помощью уже существующих точечных правил, которые предотвращают попытки атак и не нарушают логику работы ПО.

BI.ZONE
Автор: BI.ZONE
BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям по всему миру безопасно развивать бизнес в цифровую эпоху. Специализируется на подготовке индивидуальных стратегий для сложных проектов на основе более чем 40 собственных продуктов и услуг, а также предлагает простые автоматизированные решения и аутсорсинг для небольших компаний. С момента основания в 2016 году реализовала более 850 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других. Компетенции команды BI.ZONE признаны на международном уровне и подтверждены сертификатами крупнейших мировых агентств.
Комментарии: