CVE-2025-4123_ Grafana 安全漏洞

CVE-2025-4123_ Grafana 安全漏洞

  • [1. 漏洞原理](#1. 漏洞原理)
  • [2. 漏洞危害](#2. 漏洞危害)
  • [3. 漏洞修复](#3. 漏洞修复)

CVSS评分:6.1

1. 漏洞原理

由于static.go在处理静态资源重定向逻辑时,未对原始URL路径进行处理,导致可以通过重定向到托管将执行任意 JavaScript 的前端插件的网站,执行恶意的js文件,导致跨站脚本漏洞形成

如果安装了 Grafana Image Renderer 插件,攻击者甚至可将开放重定向用于服务器端请求伪造(SSRF),允许读取内部服务数据

2. 漏洞危害

该漏洞的最大危害在于,在某些条件下,可以实现伪造服务器端请求 (SSRF),需要进一步做漏洞验证

微步为低风险,一般内网资产不需要关注此漏洞

3. 漏洞修复

官方补丁已发布于 2025-05-21 / 05-23,包含修复 CVE-2025-4123 的多个版本

相关推荐
带娃的IT创业者7 小时前
突破算力与安全的边界:深度解析 Mythos AI 的“受信发布”机制与技术影响
人工智能·安全·大语言模型·ai安全·mythos ai·受信发布·ai监管
落寞的星星8 小时前
引言:加密不等于安全
安全
SRET8 小时前
Mineradio 沙盒隔离安装完全指南 | 一键安全运行 Electron 应用!!!
javascript·经验分享·安全·electron·aigc·音视频·ai编程
全栈前端老曹8 小时前
【MongoDB】安全与权限管理 —— 用户认证、角色权限、SSL 加密
前端·javascript·数据库·安全·mongodb·nosql·ssl
星河耀银海8 小时前
大模型安全:对抗攻击与防御方法
人工智能·安全·大模型
广东帝工智能安防8 小时前
智能设防精准预警,筑牢内河桥梁通航安全防护网
安全·桥梁防撞·智慧航道·防撞预警系统
kali-Myon10 小时前
某校园门禁系统高危 SQL 注入漏洞挖掘复盘
数据库·sql·安全·web安全
志栋智能10 小时前
超自动化安全中的威胁狩猎
运维·安全·自动化
梦想的颜色10 小时前
【Docker部署插件】:使用 Docker 部署生产级 Kafka 完整版教程
安全·docker·中间件·kafka·消息队列·docker-compose·后端开发
LYFlied11 小时前
EVMbench解读:AI Agent如何检测、修复并利用智能合约漏洞
人工智能·网络安全·openai·智能合约·ai agent·evm·智能合约区块链