Ox Security: уязвимость XSS в Grafana ставит под угрозу десятки тысяч экземпляров по всему миру несмотря на доступное обновление

Компания Ox Security предупредила об активной уязвимости CVE-2025-4123, получившей название Grafana Ghost. По её данным, более 36% общедоступных экземпляров платформы Grafana остаются подвержены атаке, несмотря на то что патч был выпущен ещё в мае 2025 года. Под риском находятся свыше 46 тыс. экземпляров в интернете, не считая корпоративных инсталляций, работающих в закрытых сетях.

Grafana, как широко используемая система мониторинга и визуализации, особенно популярна среди DevOps-инженеров, системных администраторов и разработчиков. Уязвимость XSS, с которой связан инцидент, образуется на пересечении обхода пути и механизма открытого редиректа. При определённых условиях она позволяет злоумышленнику выполнять произвольный JavaScript-код в контексте интерфейса Grafana без необходимости обладания правами редактора.

По словам аналитиков, достаточно отправить жертве ссылку, содержащую вредоносный редирект. При переходе по ней Grafana может загрузить внешний плагин с сервера атакующего. Этот плагин запускает код от имени пользователя и позволяет злоумышленнику изменить его имя и адрес электронной почты. Далее возможен сброс пароля и захват учётной записи.

Уязвимость становится особенно опасной, если включён анонимный доступ или установлен модуль Grafana Image Renderer — в этом случае открытый редирект можно использовать для атак типа SSRF (Server-Side Request Forgery), что открывает доступ к внутренним ресурсам.

Ox Security подчёркивает, что эта проблема представляет собой цепочку эксплойтов, а не отдельную брешь, что делает её особенно привлекательной для злоумышленников. Эксперты призывают немедленно обновить Grafana до последней версии и отключить анонимный доступ, если он не используется. Дополнительно рекомендуется проверить список подключённых плагинов и исключить возможность загрузки модулей с внешних источников.