Grafana Zero-Day Vulnerability Allows Attackers to Redirect Users to Malicious Sites
2025/05/22 gbhackers — Grafana が公表したのは、深刻度の高いクロスサイト・スクリプティング (XSS) の脆弱性に関する情報であり、すべてのバージョンを対象にセキュリティ・パッチがリリースされた。この脆弱性 CVE-2025-4123 を悪用する攻撃者は、任意の JavaScript コードを実行でき、悪意の Web サイトへとユーザーをリダイレクトする。この脆弱性が公開され、ユーザーに危険が迫る可能性があることが露見したことで、Grafana Labs は予定を早めてパッチをリリースした。
先日に発見された、Grafana の脆弱性 CVE-2025-4123 (CVSS:7.6:HIGH) を悪用する攻撃者は、クライアント・パス・トラバーサル攻撃やオープン・リダイレクト攻撃を実行できるようになる。
一般的な XSS 脆弱性とは異なり、このセキュリティ上の欠陥を悪用するための Editor 権限が不要であるため、きわめて危険に陥っている。Grafana インスタンスにおいて、匿名アクセスが有効化されている場合に、この脆弱性の悪用はさらに容易になる。
この脆弱性はカスタムなフロントエンド・プラグインを通じて武器化され、外部 Web サイトへのユーザーのリダイレクトを攻撃者に許し、ブラウザ内での有害な JavaScript 実行の可能性を生じると、セキュリティ研究者たちは警告している。
その影響は深刻であり、セッション・ハイジャックやアカウントの完全な乗っ取りにつながる可能性がある。
さらに、Grafana Image Renderer プラグインがインストールされている場合には、フルリード型のサーバ・サイド・リクエスト・フォージェリ (SSRF) 攻撃において、この脆弱性が悪用される可能性があり、潜在的な影響はさらに拡大する。
当面の緩和策
この脆弱性が影響を及ぼす範囲は、Grafana OSS/Grafana Enterprise のバージョン 11.2 〜 12.0 までとされるが、少なくとも Grafana 8 以降のサポート対象外バージョンも含まれるという。
ただし、Grafana Labs の調査によると、Grafana Cloud インスタンスは、この脆弱性の影響を受けないという。
つまり、Amazon Managed Grafana/Azure Managed Grafana などの、Grafana Cloud Pro を提供するクラウド・プロバイダーは、この脆弱性について早期に通知を受け、提供するサービスのセキュリティを確保している。
この脆弱性に対処するために Grafana Labs は、サポートが提供されている、以下のバージョンに対してセキュリティ・パッチをリリースしている:
- 12.0.0+security-01
- 11.6.1+security-01
- 11.5.4+security-01
- 11.4.4+security-01
- 11.3.6+security-01
- 11.2.9+security-01
- 10.4.18+security-01
脆弱なバージョンを実行しているユーザー組織は、対応するパッチ適用済みバージョンへと、速やかにアップグレードする必要がある。
迅速なアップグレードが不可能な場合には、Grafana のドキュメントに記載されている、コンテンツ・セキュリティ・ポリシーのデフォルト・コンフィグを実装するという代替の緩和策があり、それにより攻撃ベクターを効果的にブロックできるという。
対応タイムラインとバグバウンティの発見
この脆弱性は、2025年4月26日の時点において、セキュリティ研究者である Alvaro Balada から Grafana へと、バグバウンティ・プログラムを通じて報告された。それから2日以内に、Grafana セキュリティ・チームは脆弱性をトリアージ/確認し、4月30日には社内での修正を終えた。
そして 5月1日には、パートナーとユーザーへの連絡が行われ、5月6日には非公開リリースが作成された。
5月21日に Grafana Labs が知ったのは、脆弱性の詳細が一般に漏洩していることであり、それにより、予定されていた一般公開が前倒しされた。
とまり、セキュリティ・パッチのリリースは、予定より1日早い 5月21日 18:00 UTC に行われ、3時間後に公式に発表された。
Grafana Labs が、セキュリティ研究者たちに奨励するのは、公式バグバウンティ・プログラムを通じた脆弱性の報告である。
また、セキュリティ・パッチとベスト・プラクティスの最新情報については、Security Announcements Blog をフォローするよう、ユーザーに呼びかけている。
Grafana の XSS 脆弱性 CVE-2025-4123 が FIX しました。この脆弱性は Editor 権限なしで悪用が可能な厄介なものであり、Grafana インスタンスにおいて匿名アクセスが有効化されている場合に、さらに悪用が容易になるとのことです。ご利用のチームは、迅速なアップデートを、ご検討ください。よろしければ、Grafana で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.