با توجه به اطلاعات رسمی منتشرشده در وبسایت Grafana، آسیبپذیری با شناسه CVE-2025-4123 بهعنوان یک ضعف امنیتی با شدت بالا (امتیاز CVSS: 7.6) شناسایی شده است.
تمام نسخههای زیر آسیبپذیر هستند:
۱۰٫۰٫۰ تا قبل از ۱۰٫۴٫۱۸+security-01
۱۱٫۰٫۰ تا قبل از ۱۱٫۲٫۹+security-01
۱۱٫۳٫۰ تا قبل از ۱۱٫۳٫۶+security-01
۱۱٫۴٫۰ تا قبل از ۱۱٫۴٫۴+security-01
۱۱٫۵٫۰ تا قبل از ۱۱٫۵٫۴+security-01
۱۱٫۶٫۰ تا قبل از ۱۱٫۶٫۱+security-01
۱۲٫۰٫۰ (نسخه اولیه ۱۲ نیز آسیبپذیر است و باید به نسخههای اصلاحشده ارتقا داده شود.)
شرح آسیبپذیری:
مطابق با اطلاعیه رسمی Grafana یک آسیبپذیری با شدت بالا (CVSS 7.6) با شناسه CVE-2025-4123 در نسخههای قبل از ۱۰٫۴٫۱۸+security-01 و نسخههای متناظر بالاتر شناسایی شده است. این ضعف امنیتی ترکیبی از سه آسیبپذیری کلیدی است:
Path Traversal: مهاجم میتواند با ارسال یک URL مخرب، به مسیرها و فایلهای محدودشده روی سرور دسترسی پیدا کند.
Open Redirect: مهاجم امکان هدایت کاربر به سایتهای دلخواه و مخرب را دارد.
Cross-Site Scripting (XSS): اجرای کد جاوااسکریپت دلخواه در مرورگر کاربر با اکسپلویت یک لینک ویژه. در صورت فعال بودن دسترسی ناشناس (Anonymous Access)، اکسپلویت این ضعف حتی بدون هیچ سطح دسترسی خاصی قابل انجام است. PoC عمومی برای این آسیبپذیری منتشر شده و بهرهبرداری از آن بسیار ساده است.
اقدامات پیشنهادی:
بهروزرسانی فوری: در صورت استفاده از نسخههای آسیبپذیر Grafana، ارتقاء فوری Grafana به یکی از نسخههای امن اعلامشده (ترجیحاً آخرین نسخه) توصیه میشود.
غیرفعالسازی دسترسی ناشناس: در صورت امکان، دسترسی ناشناس را غیرفعال کنید تا از اجرای کدهای مخرب جلوگیری شود.
غیرفعالسازی Anonymous Access در پیکربندی سرور.
اعمال محدودیت و فیلترینگ روی مسیر /public/plugins/ در سطح فایروال یا وبسرور.
بررسی و بهروزرسانی سیاستهای امنیتی محتوا (CSP) برای جلوگیری از اجرای XSS.
بازبینی لاگها و مانیتورینگ درخواستهای غیرعادی به ویژه درخواستهای مربوط به مسیرهای پلاگین.
اطمینان از اطلاع کاربران و ذینفعان در صورتی که به هر نحوی لینکی از بیرون برای کاربران ارسال شده است..
منابع تکمیلی:
https://grafana.com/blog/2025/05/21/grafana-security-release-high-severity-security-fix-for-cve-2025-4123/
https://nvd.nist.gov/vuln/detail/CVE-2025-4123
