Cross-Site Scripting (XSS) Schwachstelle CVE-2025-4123 in Grafana

Veröffentlicht am 17. Juni 2025 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)In der Open-Source-Software Grafana wurde die Tage eine Cross-Site Scripting (XSS) Schwachstelle CVE-2025-4123 öffentlich. Es ist ein kritischer offener Redirect-Fehler in Grafana, der zur Übernahme von Konten führen könnte. Updaten ist angesagt, aber Tausende Grafana-Instanzen sind per Internet erreichbar.

Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)

Grafana XSS-Schwachstelle CVE-2025-4123

Grafana ist eine plattformübergreifende Open-Source-Anwendung zur grafischen Darstellung von Daten aus verschiedenen Datenquellen wie z. B. InfluxDB, MySQL, PostgreSQL, Prometheus und Graphite. Die erfassten Rohdaten lassen sich anschließend in verschiedenen Anzeigeformen ausgeben.

Es gibt eine Cross-Site-Scripting (XSS)-Schwachstelle CVE-2025-4123 in Grafana, die durch die Kombination eines Client-Pfad-Traversals und einer offenen Umleitung (redirect) verursacht wird. Diese mit einem CVSS 3.1-Index von 7.8 als hoch bewertete Schwachstelle erlaubt Angreifern, Benutzer auf eine Website umzuleiten, die ein Frontend-Plugin hostet, das beliebiges JavaScript ausführt.

Diese Schwachstelle erfordert keine Redakteursrechte und wenn anonymer Zugriff aktiviert ist, funktioniert der XSS. Wenn das Grafana Image Renderer Plugin installiert ist, ist es möglich, den offenen Redirect auszunutzen, um einen vollständigen Lese-SSRF zu erreichen. Die standardmäßige Content-Security-Policy (CSP) in Grafana blockiert den XSS durch die Direktive `connect-src`.

Sonic Wall hat dies bereits zum 5. Juni 2025 im Beitrag High-Severity Open Redirect Vulnerability in Grafana Leads to Account Takeover: CVE-2025-4123 öffentlich gemacht. Die Schwachstelle CVE-2025-4123 ist laut dem Grafana Sicherheitshinweis Grafana Cross-Site-Scripting (XSS) via custom loaded frontend plugin vom 21. Mai 2025 in den Versionen v10.4.18+security-01, v11.2.9+security-01, v11.3.6+security-01, v11.4.4+security-01, v11.5.4+security-01, v11.6.1+security-01 und v12.0.0+security-01 behoben.

Hunter: Viele Instanzen ungepatcht

Die Seite Hunter.how weist in nachfolgendem Tweet auf diese Schwachstelle hin, weil es einen Exploit gibt. Eine detailliertere Beschreibung der Schwachstelle findet sich auf dieser Webseite.

Grafana-Schwachstelle CVE-2025-4123

Eine Suche auf Hunter.how zeigt ca. eine halbe Million Grafana-Dashboards, die weltweit per Internet erreichbar sind. In Deutschland sind es ca. 84.500 Instanzen. Falls also jemand Grafana einsetzt, vielleicht kontrollieren, ob diese Instanz gepatcht ist.

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Cross-Site Scripting (XSS) Schwachstelle CVE-2025-4123 in Grafana

  1. Monarch sagt:
    17. Juni 2025 um 10:18 Uhr

    Danke für den Hinweis. Dann mache ich mich mal ans Patchen (auch wenn mein Grafana nur per VPN von außen erreichbar ist…)

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.