CVE-2025-4123
Mis à jour :
Exposition Cross-Site Scripting (XSS) dans Grafana
Une faille de sécurité, identifiée sous le nom de CVE-2025-4123, a été découverte dans Grafana. Cette vulnérabilité permet des attaques par cross-site scripting (XSS) et repose sur une combinaison de traversée de chemin côté client et d’une redirection ouverte lors de la gestion des plugins frontend personnalisés.
Les conséquences incluent la redirection des utilisateurs vers des sites web malveillants et l’exécution de code JavaScript arbitraire. La faille est exploitable sans nécessiter de permissions d’éditeur, particulièrement si l’accès anonyme est activé. L’installation du plugin Grafana Image Renderer permet une escalade vers une attaque Server-Side Request Forgery (SSRF) en lecture seule, pouvant exposer des services internes et des métadonnées cloud. Toutes les versions de Grafana OSS et Grafana Enterprise à partir de la version 8 sont concernées.
Points Clés :
- Type de vulnérabilité : Cross-Site Scripting (XSS) et Redirection Ouverte.
- Impact : Redirection vers des sites malveillants, exécution de code JavaScript, potentiel SSRF avec plugin Image Renderer.
- Conditions d’exploitation : Pas de permissions d’éditeur requises, risque accru avec l’accès anonyme.
- Versions affectées : Grafana OSS et Grafana Enterprise à partir de la version 8.
Vulnérabilité :
- CVE-2025-4123
Recommandations :
Bien que l’article ne détaille pas les recommandations spécifiques pour CVE-2025-4123, la résolution typique de ce genre de failles implique la mise à jour vers une version corrigée de Grafana dès sa disponibilité et la désactivation des fonctionnalités non essentielles comme l’accès anonyme si possible.