Grafana Labs, saldırganların kullanıcıları kötü amaçlı web sitelerine yönlendirmesini ve gösterge paneli ortamlarında keyfi kod yürütmesini sağlayabilecek iki önemli güvenlik açığını ele alan kritik güvenlik yamaları yayınladı.
Güvenlik güncellemesi, her ikisi de şirketin böcek programı aracılığıyla keşfedilen orta şiddetli bir açık yönlendirme kusuru olan CVE-2025-6023 ve CVE-2025-6197 olan CVE-2025-6197’yi ele alıyor.
Kritik XSS Güvenlik Açığı Kod Yürütülmesini Sağlar
Daha şiddetli güvenlik açığı, CVE-2025-6023, istemci yolu geçişini kullanan ve Grafana’nın komut dosyası panoları işlevselliğindeki açık yönlendirmeleri kullanan bir siteler arası komut dosyası saldırısı vektörünü temsil eder.
| CVE kimliği | Şiddet | CVSS Puanı | Etkilenen sürümler | Birincil etki |
| CVE-2025-6023 | Yüksek | 7.6 | > = Grafana 11.5.0 | XSS, Kod Yürütme |
| CVE-2025-6197 | Orta | 4.2 | > = Grafana 11.5.0 | Açık yönlendirme |
Bu güvenlik açığı 7.6 CVSS puanı taşır ve yürütülmesi için editör izinleri gerektirmediği için belirli riskler oluşturmaktadır.
Anonim erişim etkinleştirildiğinde, XSS güvenlik açığı hemen kullanılabilir ve saldırganların kullanıcıları keyfi JavaScript kodu yürütebilecek kötü amaçlı web sitelerine yönlendirmesine izin verir.
Güvenlik açığı, saldırganların harici JavaScript kaynaklarını getirmesini önlemek için gerekli olan içerik güvenlik politikasında bir Connect-SRC direktifinin bulunmaması nedeniyle Grafana Cloud kullanıcılarını etkiler.
Saldırganların kötü niyetli yükler oluşturmak için Grafana örneğine doğrudan erişime ihtiyaç duymasalar da, mağdurların başarılı olması için en azından izleyici izinleri ile doğrulanmalıdır. Başarılı sömürü, oturum kaçırma veya tam hesap devralma ile sonuçlanabilir.
CVSS skoru 4.2 olan orta yüzlük güvenlik açığı olan CVE-2025-6197, Grafana’nın organizasyon değiştirme işlevselliğindeki kusurlardan kaynaklanmaktadır.
Bu açık yönlendirme güvenlik açığı, sömürü için özel koşullar gerektirir: Grafana örneğinin birden fazla kuruluşu olmalı, hedeflenen kullanıcı Switch’te yer alan her iki kuruluşun üyesi olmalı ve saldırgan şu anda görüntülenen kuruluş kimliğini bilmelidir.
Grafana bulut kullanıcıları bu özel güvenlik açığından etkilenmez, çünkü bulut hizmeti kuruluşları desteklemez.
Grafana Labs, 12.0.x, 11.6.x, 11.5.x, 11.4.x ve 11.3.x sürümleri için güvenlik yamaları yayınladı. Güvenlik açıkları, Opswat ve Dat Phung’dan güvenlik araştırmacıları Hoa X. Nguyen tarafından şirketin Bug Bounty programı aracılığıyla keşfedildi.
Hemen yükseltemeyen kuruluşlar için Grafana, içerik güvenliği politikası yapılandırmalarının uygulanmasını veya belirli URL kalıplarının geçici azaltma önlemleri olarak engellenmesini önerir.
Bu güvenlik açıkları, güncellenmiş Grafana kurulumlarının korunmasının ve sağlam güvenlik politikalarının uygulanmasının önemini vurgulamaktadır.
Grafana laboratuvarlarından elde edilen hızlı yanıt, bulut sağlayıcılarla koordineli açıklama ve müşterilere ilerleme bildirimi de dahil olmak üzere etkili güvenlik açığı yönetimi uygulamaları gösterir.
Kuruluşlar, bu kritik kusurların potansiyel olarak kullanılmasını önlemek için en son güvenlik paketlenmiş sürümlere yükseltmeye öncelik vermelidir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now