圖表資料呈現系統Grafana存在XSS高風險漏洞，傳出細節已遭公開

5月21日圖表資料呈現系統Grafana發布資安公告，推出12.0.0+security-01版等一系列的更新，主要目的修補高風險的跨網站指令碼（XSS）資安弱點CVE-2025-4123，並指出若不處理，攻擊者能將使用者重新導向惡意網站。值得留意的是，這項資安公告Grafana原本預定於22日才發布，因為發現漏洞已被公開，他們決定提早一天公布此事。

這項漏洞Grafana是在4月底接獲通報，當時通報的研究人員指出，這項XSS漏洞會導致攻擊者於用戶端進行路徑穿越及開放重新導向的行為，使得他們能將使用者重新導向惡意網站，並於網站利用前臺的外掛程式執行任意的JavaScript程式碼，CVSS風險值為7.6，影響Grafana 11.2至12.0所有版本，停止提供產品維護支援的Grafana 8也可能會受到影響。

研究人員強調，CVE-2025-4123與大部分的XSS漏洞不同，攻擊者無須取得editor的權限。若是目標系統部署了外掛程式Grafana Image Renderer，攻擊者還能以完整讀取的伺服器偽造請求來濫用漏洞。

對此，Grafana開發團隊呼籲IT人員應儘速套用新版程式，若是無法及時升級，則可藉由配置預設的內容安全政策（Content Security Policy，CSP）組態來防堵相關威脅。