Saldırganların kullanıcıları kötü amaçlı web sitelerine yönlendirmesine ve keyfi JavaScript kodu yürütmesine izin verebilecek iki önemli Grafana güvenlik açığı.
CVE-2025-6023 ve CVE-2025-6197 olarak tanımlanan güvenlik açıkları, Grafana’nın 12.0.x, 11.6.x, 11.5.x, 11.4.x ve 11.3.x dalları dahil olmak üzere birçok versiyonunu etkiler.
Her iki güvenlik kusuru, Opswat’tan Hoa X. Nguyen ve ilgili keşiflerden sorumlu araştırmacılar Hoa X. Nguyen ile Grafana’nın Bug Bounty programı aracılığıyla keşfedildi.
Key Takeaways
1. CVE-2025-6023 (XSS) and CVE-2025-6197 (redirect) in Grafana versions have been patched
2. Attackers can redirect users and execute malicious code.
3. Upgrade immediately or apply Content Security Policy mitigations.
Yüksek şiddetli XSS güvenlik açığı
Daha ciddi güvenlik açığı, CVE-2025-6023, 7.6 CVSS puanı taşır ve yüksek şiddetli bir siteler arası komut dosyası (XSS) saldırı vektörünü temsil eder.
Bu güvenlik açığı, istemci yolu geçiş ve yönlendirme mekanizmalarını kullanır ve saldırganların kullanıcıları komut dosyası panoları içinde keyfi JavaScript kodu yürütebilen kötü amaçlı web sitelerine yönlendirmesini sağlar.
Bu güvenlik açığını özellikle tehlikeli kılan şey, editör izinlerinin kullanılması gerekmemesi ve anonim erişim etkinleştirilmesi durumunda, XSS saldırısı hemen uygulanabilir hale gelir.
Güvenlik açığı Grafana sürümlerini> = 11.5.0’ı etkiler ve içerik güvenlik politikaları, saldırganların harici JavaScript almasını önlemek için gerekli olan bir Connect-SRC yönergesine sahip olmadığından Grafana bulut kullanıcıları için önemli riskler oluşturur.
Saldırganların zanaat yüklerine doğrudan erişime ihtiyaç duymasa da, mağdurların başarılı JavaScript yürütmesi için en azından izleyici izinleri ile doğrulanması gerekir.
Potansiyel etki, kötü amaçlı komut dosyası yürütme yoluyla oturum kaçırma ve tam hesap devralmayı içerir.
Orta-Şiddetli Açık yönlendirme kusuru
CVSS skoru 4.2 olan CVE-2025-6197, Grafana’nın organizasyon değiştirme işlevselliğinde orta yüzlü açık yönlendirme güvenlik açığını temsil eder.
Bu güvenlik açığı, sömürü için özel koşullar gerektirir: Grafana örneği birden fazla kuruluşu desteklemeli, hedeflenen kullanıcı her iki kuruluşun arasında da değiştirilmeli ve saldırgan şu anda görüntülenen kuruluş kimliği hakkında bilgi sahibi olmalıdır.
Özellikle, Grafana Cloud kullanıcıları, platform kuruluşları desteklemediğinden bu özel güvenlik açığından etkilenmez.
Bununla birlikte, açık yönlendirme mekanizması potansiyel olarak CVE-2025-6023’te gözlenen modellere ve önceki güvenlik açığı CVE-2025-4123’e benzer şekilde XSS elde etmek için diğer saldırılarla zincirlenebilir.
| CVE | Başlık | Etkilenen sürümler | Yamalı versiyonlar | CVSS 3.1 puanı | Şiddet |
| CVE-2025-6023 | İstemci Yolu Geçiş ve Açık Yönlendirme aracılığıyla XSS | > = Grafana 11.5.0 | 12.0.2+Güvenlik-01, 11.6.3+Güvenlik-01, 11.5.6+Güvenlik-01, 11.4.6+Güvenlik-01, 11.3.8+Güvenlik-01 | 7.6 | Yüksek |
| CVE-2025-6197 | Organizasyon değiştirme yoluyla açık yönlendirme | > = Grafana 11.5.0 | 12.0.2+Güvenlik-01, 11.6.3+Güvenlik-01, 11.5.6+Güvenlik-01, 11.4.6+Güvenlik-01, 11.3.8+Güvenlik-01 | 4.2 | Orta |
Yamalar mevcut
Grafana Labs, Grafana 12.0.2+Güvenlik-01, 11.6.3+Güvenlik-01, 11.5.6+Güvenlik-01, 11.4.6+Güvenlik-01 ve 11.3.8+Security-01 dahil olmak üzere etkilenen tüm sürümlerde kapsamlı güvenlik yamaları yayınladı.
Hemen yükseltemeyen kuruluşlar için geçici azaltma stratejileri mevcuttur.
CVE-2025-6023 için, yöneticiler aşağıdaki şablonu kullanarak içerik güvenlik ilkesi yapılandırmalarını uygulayabilir:
CVE-2025-6197 için yöneticiler, giriş yapılandırmalarında /\ (%2f%5c) ile başlayan grafana URL’lerini engelleyebilir veya örnekleri tek organizasyon dağıtımlarına sınırlandırabilir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi