Grafana Labs выпустила критические обновления безопасности, устраняющие две серьезные уязвимости, которые могут позволить злоумышленникам перенаправлять пользователей на вредоносные сайты и выполнять произвольный код в среде дашбордов. Обновление закрывает уязвимости CVE-2025-6023 (XSS высокой опасности) и CVE-2025-6197 (открытое перенаправление средней опасности), обнаруженные в рамках программы вознаграждений за уязвимости (Bug bounty).
XSS-уязвимость высокой критичности (CVE-2025-6023)
Наиболее опасная уязвимость, CVE-2025-6023, представляет собой вектор атаки на основе межсайтового скриптинга (XSS). Она использует механизмы клиентского обхода путей и открытых перенаправлений в функционале скриптованных дашбордов Grafana. Ее оценка по шкале CVSS составляет 7.6, что указывает на высокий уровень угрозы.
Особенность этой уязвимости в том, что для ее эксплуатации злоумышленникам не требуются права редактора. Если в системе включен анонимный доступ, атака становится возможной немедленно, что позволяет перенаправлять пользователей на фишинговые или вредоносные сайты, где может быть выполнен произвольный JavaScript-код.
Grafana Cloud особенно уязвима из-за отсутствия директивы connect-src в политике безопасности Content-Security-Policy (CSP), которая обычно предотвращает загрузку внешних JavaScript-ресурсов. Хотя прямой доступ к инстансу Grafana не требуется для создания вредоносных нагрузок, жертва должна быть аутентифицирована с правами не ниже Viewer, чтобы код смог выполниться. Успешная эксплуатация уязвимости может привести к перехвату сессии или полному захвату учетной записи.
Открытое перенаправление (CVE-2025-6197)
Вторая уязвимость, CVE-2025-6197, оценивается в 4.2 балла по CVSS и классифицируется как проблема средней опасности. Она связана с ошибками в механизме переключения между организациями в Grafana.
Для эксплуатации этого бага требуется выполнение нескольких условий: инстанс Grafana должен поддерживать множественные организации, пользователь должен состоять в двух организациях, между которыми происходит переключение, а злоумышленник должен знать ID текущей просматриваемой организации.
Стоит отметить, что пользователи Grafana Cloud не подвержены этой уязвимости, поскольку облачный сервис не поддерживает функционал организаций.
Выпущенные обновления и рекомендации
Grafana Labs уже выпустила исправления для версий 12.0.x, 11.6.x, 11.5.x, 11.4.x и 11.3.x. Уязвимости были обнаружены исследователями Hoa X. Nguyen (OPSWAT) и Dat Phung в рамках программы вознаграждений за баги.
Компания рекомендует всем организациям как можно скорее обновиться до последних версий. Тем, кто не может сделать это немедленно, предлагается временно усилить безопасность с помощью настройки Content Security Policy или блокировки определенных URL-шаблонов.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2025-6023
- https://nvd.nist.gov/vuln/detail/CVE-2025-6197
- https://grafana.com/blog/2025/07/17/grafana-security-release-medium-and-high-severity-fixes-for-cve-2025-6197-and-cve-2025-6023/
