Grafana’da yüksek şiddetli siteler arası komut dosyası (XSS) güvenlik açığı keşfedilmiştir ve bu da desteklenen tüm sürümlerde güvenlik yamalarının derhal serbest bırakılmasını istemektedir.
Güvenlik açığı (CVE-2025-4123), saldırganların kullanıcıları keyfi JavaScript kodunun yürütülebileceği kötü amaçlı web sitelerine yönlendirmesini sağlar.
Grafana Labs, kırılganlığın kamuya açıklandığını keşfettikten sonra, potansiyel olarak kullanıcıları riske attığını keşfettikten sonra programların önünde yamalar yayınladı.
.png
)
CVSS skoru 7.6 (yüksek) olan CVE-2025-4123’e atanan Grafana’da yakın zamanda keşfedilen güvenlik açığı, saldırganların müşteri yolu geçiş ve açık yönlendirme saldırıları gerçekleştirmesine izin veriyor.
Tipik XSS güvenlik açıklarından farklı olarak, bu güvenlik kusuru editör izinlerinin kullanmasını gerektirmez, bu da özellikle tehlikeli hale getirir.
Bir Grafana örneğinde anonim erişim etkinleştirilirse, güvenlik açığının kullanımı daha da kolaylaşır.
Güvenlik araştırmacıları, güvenlik açığının özel ön uç eklentileri aracılığıyla silahlandırılabileceğini ve kötü amaçlı aktörlerin kullanıcıları tarayıcılarında zararlı JavaScript’in yürütülebileceği harici web sitelerine yönlendirmesini sağladığını belirtti.
Sonuçlar şiddetli olabilir, potansiyel olarak oturum kaçırma veya tam hesap devralmasına neden olabilir.
Ek olarak, Grafana görüntü oluşturucu eklentisi yüklenirse, güvenlik açığı tam okunan sunucu tarafı isteği Acı (SSRF) saldırısı olarak istismar edilebilir ve potansiyel etkisini daha da genişletir.
Güvenlik açığı, Grafana OSS ve Grafana Enterprise’ın 11.2 ila 12.0 sürümleri de dahil olmak üzere tüm desteklenen versiyonlarını ve en azından Grafana 8’e kadar desteklenmeyen sürümleri etkiler.
Bununla birlikte, Grafana bulut örnekleri, Grafana Labs tarafından onaylandığı gibi bu güvenlik açığından etkilenmez.
Amazon tarafından yönetilen Grafana ve Azure Managed Grafana da dahil olmak üzere Grafana Cloud Pro’yu sunan bulut sağlayıcılar, Embargo altında erken bilgilendirildi ve tekliflerini güvence altına aldı.
Güvenlik açığını gidermek için Grafana Labs, desteklenen tüm sürümler için güvenlik yamaları yayınladı: 12.0.0+güvenlik-01, 11.6.1+güvenlik-01, 11.5.4+güvenlik-01, 11.4.4+güvenlik-01, 11.3.6+güvenlik-01, 11.2.9+güvenlik-01 ve 10.4.18+güvenlik-01.
Savunmasız sürümleri çalıştıran kuruluşlar derhal karşılık gelen yamalı sürüme yükseltilmelidir.
Hemen yükseltemeyenler için, alternatif bir azaltma, Grafana belgesinde ayrıntılı olarak, saldırı vektörünü etkili bir şekilde engelleyebilen varsayılan içerik güvenlik ilkesi yapılandırmasının uygulanmasını içerir.
Yanıt zaman çizelgesi ve hata ödül keşfi
Güvenlik açığı başlangıçta Grafana’nın Güvenlik Araştırmacısı Alvaro Balada tarafından 26 Nisan 2025’te Hata Bounty Programı aracılığıyla rapor edildi. İki gün içinde Grafana Güvenlik ekibi güvenlik açığını tetikledi ve doğruladı ve 30 Nisan’a kadar dahili bir düzeltme oluşturuldu.
Ortaklar ve müşterilerle 1 Mayıs’ta 6 Mayıs’a kadar oluşturulan özel sürümlerle iletişime geçildi.
Planlanan halka açık serbest bırakma, Grafana Labs 21 Mayıs’ta kırılganlığın ayrıntılarının halka sızdığını keşfettiğinde hızlandı.
Bu, programdan bir gün önce güvenlik yamaları yayınlama kararına neden oldu ve halka açık sürüm 21 Mayıs 18:00 UTC’de gerçekleşti ve ardından üç saat sonra resmi bir duyuru izledi.
Grafana Labs, güvenlik araştırmacılarını resmi hata ödül programları aracılığıyla güvenlik açıklarını bildirmeye teşvik etmeye devam ediyor ve kullanıcılara güvenlik yamaları ve en iyi uygulamalarla ilgili güncellemeler için güvenlik duyuruları blogunu takip etmelerini hatırlatıyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!