Dos vulnerabilidades significativas de Grafana que podrían permitir a los atacantes redirigir a los usuarios a sitios web maliciosos y ejecutar código de JavaScript arbitrario.
Las vulnerabilidades, identificadas como CVE-2025-6023 y CVE-2025-6197, afectan múltiples versiones de Grafana, incluidas las ramas 12.0.x, 11.6.x, 11.5.x, 11.4.x y 11.3.x.
Ambos defectos de seguridad se descubrieron a través del programa de recompensas de errores de Grafana, con los investigadores Hoa X. Nguyen de Opswat y Dat Phung responsable de los respectivos descubrimientos.
Control de llave
1.
2. Los atacantes pueden redirigir a los usuarios y ejecutar código malicioso.
3. Actualice inmediatamente o aplique mitigaciones de políticas de seguridad de contenido.
Vulnerabilidad XSS de alta severidad
La vulnerabilidad más grave, CVE-2025-6023, tiene una puntuación CVSS de 7.6 y representa un vector de ataque de secuencias de comandos de sitios cruzados (XSS) de alta severidad.
Esta vulnerabilidad explota la ruta del cliente transversal y abre mecanismos de redireccionamiento, lo que permite a los atacantes redirigir a los usuarios a sitios web maliciosos que pueden ejecutar el código de JavaScript arbitrario dentro de los paneles con guiones.
Lo que hace que esta vulnerabilidad sea particularmente peligrosa es que no requiere que los permisos del editor exploten, y si el acceso anónimo está habilitado, el ataque XSS se vuelve inmediatamente viable.
La vulnerabilidad afecta las versiones de Grafana> = 11.5.0 y plantea riesgos significativos para los usuarios de la nube de Grafana, ya que su control de seguridad de contenido carece de una directiva Connect-SRC, que es esencial para evitar que los atacantes obtengan JavaScript externo.
Si bien los atacantes no necesitan acceso directo a las cargas útiles de artesanía, las víctimas deben autenticarse con al menos permisos de los espectadores para una ejecución exitosa de JavaScript.
El impacto potencial incluye secuestro de sesiones y adquisición completa de la cuenta a través de la ejecución de script malicioso.
Falla de redirección abierta
CVE-2025-6197, con una puntuación CVSS de 4.2, representa una vulnerabilidad de redirección abierta de severidad media dentro de la funcionalidad de conmutación de la organización de Grafana.
Esta vulnerabilidad requiere condiciones específicas para la explotación: la instancia de Grafana debe admitir múltiples organizaciones, el usuario objetivo debe ser miembro de ambas organizaciones que se están cambiando, y el atacante debe poseer conocimiento de la identificación de la organización que actualmente se ve.
En particular, los usuarios de Grafana Cloud no se ven afectados por esta vulnerabilidad particular ya que la plataforma no admite organizaciones.
Sin embargo, el mecanismo de redirección abierta puede ser potencialmente encadenado con otros ataques para lograr XSS, similar a los patrones observados en CVE-2025-6023 y la vulnerabilidad previa CVE-2025-4123.
VERSIONES VERSIONES CVETITLEA VERSIONESCHED CVSS 3.1 ScoreSeverityCVE-2025-6023XSS a través de la ruta del cliente Traversal y Abra Redirect> = Grafana 11.5.012.0.2+Security-01, 11.6.3+Security-01, 11.5.6+Security-01, 11.6+Security-01, 01,, 01, 11.3.8+Security-017.6highcve-2025-6197open redirección a través de la organización conmutación> = Grafana 11.5.012.0.2+Security-01, 11.6.3+Security-01, 11.5.6+Security-01, 11.4.6+Security-01, 11.3.8+Security-014.2 Medium Medio
Parches disponibles
Grafana Labs ha lanzado Parches de seguridad integrales en todas las versiones afectadas, incluida Grafana 12.0.2+Security-01, 11.6.3+Security-01, 11.5.6+Security-01, 11.4.6+Security-01 y 11.3.8+Security-01.
Para las organizaciones que no pueden actualizar de inmediato, hay estrategias de mitigación temporales disponibles.
Para CVE-2025-6023, los administradores pueden implementar configuraciones de política de seguridad de contenido utilizando la siguiente plantilla:
Para CVE-2025-6197, los administradores pueden bloquear las URL de Grafana que comienzan con /\ (%2F%5C) en su configuración de ingreso o limitar las instancias a las implementaciones de una sola organización.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
