CVE-2025-4123_ Grafana 安全漏洞
- [1. 漏洞原理](#1. 漏洞原理)
- [2. 漏洞危害](#2. 漏洞危害)
- [3. 漏洞修复](#3. 漏洞修复)
CVSS评分:6.1
1. 漏洞原理
由于static.go在处理静态资源重定向逻辑时,未对原始URL路径进行处理,导致可以通过重定向到托管将执行任意 JavaScript 的前端插件的网站,执行恶意的js文件,导致跨站脚本漏洞形成
如果安装了 Grafana Image Renderer 插件,攻击者甚至可将开放重定向用于服务器端请求伪造(SSRF),允许读取内部服务数据
2. 漏洞危害
该漏洞的最大危害在于,在某些条件下,可以实现伪造服务器端请求 (SSRF),需要进一步做漏洞验证
微步为低风险,一般内网资产不需要关注此漏洞
3. 漏洞修复
官方补丁已发布于 2025-05-21 / 05-23,包含修复 CVE-2025-4123 的多个版本