4.6萬套資料圖形視覺化Grafana系統尚未修補XSS漏洞而曝險

研究人員發現，資料視覺化軟體Grafana 5月間修補的跨網站指令碼（XSS）資安漏洞，仍然有超過4.6萬臺系統未更新版本而處於曝險狀態。

Grafana是多平臺開源資料分析及視覺化網頁應用，可連結多種資料源生成圖表、互動式儀表板及警示，常用於系統監控和即時資料分析。

5月21日Grafana接獲外部研究人員通報一個跨站指令碼（XSS）漏洞，編號CVE-2025-4123。該漏洞是結合終端路徑穿越和開放重導向，可讓攻擊者將用戶導向一個代管前端外掛的網站並執行任意JavaScript。濫用本漏洞不需編輯器(editor)許可，只要有匿名存取權就能執行XSS，後果包括劫持用戶連線、變更帳號憑證。此外，如果用戶安裝了Grafana圖像渲染（Image Render）外掛程式，攻擊者還可能用它來執行開放重導向，導致可完整讀取受害機器的伺服器端請求偽造（Server-side request forgery，SSRF）。CVE-2025-4123 CVSS 3.1風險值為7.6。研發本軟體的Grafana Labs已在5月釋出更新版修補。

不過應用安全廠商OX Security發現，直到最近還有超過4萬臺系統仍未修補漏洞。研究人員利用Shodan搜尋，發現128,864臺面向網際網路，其中46572個為未更新的Grafana執行個體。以所在地國家來看，以美國1.1萬佔最大宗，其次為德國（6276）及巴西（3400）。

Grafana預設的內容安全政策可以透過connect-src指令防堵XSS，但只是權限措施。研究人員及Grafana Labs呼籲用戶最好是更新軟體以確保企業及系統安全。