Grafana作为开源的监控和可视化平台被广泛用于跟踪基础设施、应用程序和业务指标。其漂亮且交互式的仪表板深受DevOps团队喜爱。然而近期一项高危漏洞正让大量公开暴露的实例面临严重风险。该漏洞被追踪为CVE-2025-4123也被安全研究人员称为“Grafana Ghost”。它允许攻击者通过恶意插件执行任意 JavaScript最终实现账户接管。漏洞发现与修复该漏洞由漏洞赏金猎人Alvaro Balada发现。Grafana Labs 于 2025 年 5 月 21-24 日发布了安全更新修复了这一问题。受影响的是多个版本的 Grafana 平台包括 10.x、11.x 和 12.x 早期版本。官方修复版本包括10.4.18security-01及后续补丁11.2.9security-0111.3.6security-0111.4.4security-0111.5.4security-0111.6.1security-0112.0.0security-01Grafana 官方 Logo了解更多可访问 Grafana 官网Pros and Cons of Different Tools - Grafana暴露实例规模惊人根据应用安全公司OX Security的研究截至文章撰写时互联网上可公开访问的 Grafana 实例总数约为128,864 个其中仍有46,506 个运行易受攻击的版本占比约36%。这些未打补丁的实例被称为“Grafana Ghost”形成了一个巨大的攻击面。即使启用匿名访问该漏洞也能生效无需提升权限。Shadowservers New Public Dashboard | The Shadowserver Foundation上图为类似互联网暴露设备统计可视化示例突出全球规模风险漏洞利用链详解CVE-2025-4123 的核心是客户端路径遍历与开放重定向的组合。攻击者可诱导受害者点击精心构造的恶意链接利用 URL 处理不一致绕过浏览器规范化机制从攻击者控制的网站加载恶意 Grafana 插件在用户浏览器中执行任意 JavaScriptXSS。进一步影响包括劫持用户会话修改账户邮箱地址通过密码重置完成账户接管若安装了Grafana Image Renderer插件还可触发服务器端请求伪造SSRF读取内部资源。即使 Grafana 默认的内容安全策略CSP也无法完全阻止此次客户端利用。XSS 与账户接管攻击示意图类似攻击链可视化账户接管Account Takeover概念What Is Account Takeover (ATO)? Definition Fraud Protection | Fortinet攻击要求与风险评估虽然利用需要一定用户交互受害者需点击链接且保持活跃会话且依赖插件功能默认启用但大量暴露实例 无需身份验证的特点依然创造了重要攻击面。OX Security 研究人员已成功演示了完整武器化过程证明该漏洞易于利用。立即行动建议为降低风险强烈推荐所有 Grafana 管理员立即升级到上述安全补丁版本。检查当前版本优先升级生产环境考虑限制公共访问或在暴露实例前添加 WAF/反向代理保护监控异常登录和插件加载行为。Grafana Cloud SaaS 用户不受此漏洞影响。