Dvije značajne Grafana ranjivosti koje bi mogle omogućiti napadačima da preusmjere korisnike na maliciozne web stranice i izvrše proizvoljni JavaScript kod.
Ranjivosti, identifikovane kao CVE-2025-6023 i CVE-2025-6197, utiču na više verzija Grafane, uključujući grane 12.0.x, 11.6.x, 11.5.x, 11.4.x i 11.3.x.
Oba sigurnosna propusta otkrivena su putem Grafaninog programa za nagrađivanje grešaka , a za otkrića su odgovorni istraživači Hoa X. Nguyen iz OPSWAT-a i Dat Phung.
Ključne zaključke
1. CVE-2025-6023 (XSS) i CVE-2025-6197 (preusmjeravanje) u Grafana verzijama su ispravljeni.
2. Napadači mogu preusmjeriti korisnike i izvršiti zlonamjerni
3. Odmah nadogradite ili primijenite mjere ublažavanja Politike sigurnosti sadržaja.
Ranjivost visokog stepena ozbiljnosti XSS-a
Ozbiljnija ranjivost, CVE-2025-6023, nosi CVSS ocjenu 7,6 i predstavlja vektor napada cross-site scriptingom (XSS) visokog stepena ozbiljnosti .
Ova ranjivost iskorištava mehanizme prolaska kroz klijentsku putanju i otvorenog preusmjeravanja, omogućavajući napadačima da preusmjere korisnike na maliciozne web stranice koje mogu izvršavati proizvoljni JavaScript kod unutar skriptiranih nadzornih ploča.
Ono što ovu ranjivost čini posebno opasnom jeste to što za njeno iskorištavanje nisu potrebne dozvole urednika, a ako je omogućen anonimni pristup, XSS napad postaje odmah moguć.
Ranjivost utiče na Grafana verzije >= 11.5.0 i predstavlja značajan rizik za korisnike Grafana Clouda jer njihovoj Content-Security-Policy nedostaje direktiva connect-src, koja je neophodna za sprečavanje napadača da preuzimaju eksterni JavaScript.
Iako napadačima nije potreban direktan pristup korisnim podacima, žrtve moraju biti autentifikovane s barem dozvolama za pregledavanje (Viewer) za uspješno izvršavanje JavaScripta.
Potencijalni uticaj uključuje otimanje sesije i potpuno preuzimanje računa putem izvršavanja malicioznog skripta.
Greška otvorenog preusmjeravanja srednjeg stepena ozbiljnosti
CVE-2025-6197, sa CVSS rezultatom 4,2, predstavlja ranjivost srednjeg stepena ozbiljnosti otvorenog preusmjeravanja unutar Grafana funkcionalnosti prebacivanja organizacija.
Ova ranjivost zahtijeva specifične uslove za iskorištavanje: Grafana instanca mora podržavati više organizacija, ciljani korisnik mora biti član obje organizacije između kojih se prebacuje, a napadač mora posjedovati znanje o ID-u organizacije koji se trenutno pregleda.
Važno je napomenuti da korisnici Grafana Clouda ostaju nepogođeni ovom posebnom ranjivošću jer platforma ne podržava organizacije.
Međutim, mehanizam otvorenog preusmjeravanja potencijalno se može povezati s drugim napadima kako bi se postigao XSS, slično obrascima uočenim u CVE-2025-6023 i prethodnoj ranjivosti CVE-2025-4123.
| CVE | Naslov | Pogođene verzije | Zakrpane verzije | CVSS 3.1 rezultat | Ozbiljnost |
| CVE-2025-6023 | XSS putem prolaska kroz klijentsku putanju i otvorenog preusmjeravanja | >= Grafana 11.5.0 | 12.0.2+sigurnost-01, 11.6.3+sigurnost-01, 11.5.6+sigurnost-01, 11.4.6+sigurnost-01, 11.3.8+sigurnost-01 | 7.6 | Visoko |
| CVE-2025-6197 | Otvori preusmjeravanje putem promjene organizacije | >= Grafana 11.5.0 | 12.0.2+sigurnost-01, 11.6.3+sigurnost-01, 11.5.6+sigurnost-01, 11.4.6+sigurnost-01, 11.3.8+sigurnost-01 | 4.2 | Srednji |
Dostupne zakrpe
Grafana Labs je objavio sveobuhvatne sigurnosne zakrpe za sve pogođene verzije, uključujući Grafana 12.0.2+security-01, 11.6.3+security-01, 11.5.6+security-01, 11.4.6+security-01 i 11.3.8+security-01.
Za organizacije koje nisu u mogućnosti odmah izvršiti nadogradnju, dostupne su privremene strategije ublažavanja.
Za CVE-2025-6023, administratori mogu implementirati konfiguracije Politike sigurnosti sadržaja koristeći sljedeći predložak:
Za CVE-2025-6197, administratori mogu blokirati Grafana URL-ove koji počinju sa /\ (%2F%5C) u svojoj konfiguraciji ulaza ili ograničiti instance na implementacije u jednoj organizaciji.
Izvor: CyberSecurityNews
