![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
In der Open-Source-Software Grafana wurde die Tage eine Cross-Site Scripting (XSS) Schwachstelle CVE-2025-4123 \u00f6ffentlich. Es ist ein kritischer offener Redirect-Fehler in Grafana, der zur \u00dcbernahme von Konten f\u00fchren k\u00f6nnte. Updaten ist angesagt, aber Tausende Grafana-Instanzen sind per Internet erreichbar.<\/p>\n
<\/p>\n
Es gibt eine Cross-Site-Scripting (XSS)-Schwachstelle CVE-2025-4123<\/a> in Grafana, die durch die Kombination eines Client-Pfad-Traversals und einer offenen Umleitung (redirect) verursacht wird. Diese mit einem CVSS 3.1-Index von 7.8 als hoch bewertete Schwachstelle erlaubt Angreifern, Benutzer auf eine Website umzuleiten, die ein Frontend-Plugin hostet, das beliebiges JavaScript ausf\u00fchrt.<\/p>\n Diese Schwachstelle erfordert keine Redakteursrechte und wenn anonymer Zugriff aktiviert ist, funktioniert der XSS. Wenn das Grafana Image Renderer Plugin installiert ist, ist es m\u00f6glich, den offenen Redirect auszunutzen, um einen vollst\u00e4ndigen Lese-SSRF zu erreichen. Die standardm\u00e4\u00dfige Content-Security-Policy (CSP) in Grafana blockiert den XSS durch die Direktive `connect-src`.<\/p>\n Sonic Wall hat dies bereits zum 5. Juni 2025 im Beitrag High-Severity Open Redirect Vulnerability in Grafana Leads to Account Takeover: CVE-2025-4123<\/a> \u00f6ffentlich gemacht. Die Schwachstelle CVE-2025-4123 ist laut dem Grafana Sicherheitshinweis Grafana Cross-Site-Scripting (XSS) via custom loaded frontend plugin<\/a> vom 21. Mai 2025 in den Versionen v10.4.18+security-01, v11.2.9+security-01, v11.3.6+security-01, v11.4.4+security-01, v11.5.4+security-01, v11.6.1+security-01 und v12.0.0+security-01 behoben.<\/p>\n Die Seite Hunter.how<\/em> weist in nachfolgendem Tweet auf diese Schwachstelle hin, weil es einen Exploit gibt<\/a>. Eine detailliertere Beschreibung der Schwachstelle findet sich auf dieser Webseite.<\/p>\nGrafana<\/a> ist eine plattform\u00fcbergreifende Open-Source-Anwendung zur grafischen Darstellung von Daten aus verschiedenen Datenquellen wie z. B. InfluxDB, MySQL, PostgreSQL, Prometheus und Graphite.\u00a0Die erfassten Rohdaten lassen sich anschlie\u00dfend in verschiedenen Anzeigeformen ausgeben.<\/p>\n
Hunter: Viele Instanzen ungepatcht<\/h2>\n
![\"Grafana-Schwachstelle](\"https:\/\/i.postimg.cc\/VsGZhksL\/image.png\")
<\/a><\/p>\n