Selon un article publié par Bleeping Computer, plus de 46 000 instances de Grafana accessibles via Internet restent non corrigées et exposées à une vulnérabilité de redirection ouverte côté client (CVE-2025-4123).

🧟 Le fantôme de Grafana : plus de 46 000 instances exposées à une faille critique

Une faille critique affectant Grafana (CVE-2025-4123) expose encore plus de 46 000 instances accessibles sur Internet à des attaques de type détournement de compte.

📌 Qu’est-ce que CVE-2025-4123 ?

Découverte par le chercheur en sécurité Alvaro Balada, cette vulnérabilité client-side combine une redirection ouverte à une traversée de chemin (path traversal), permettant à un attaquant d’injecter un plugin malveillant dans une instance Grafana.

💥 Elle permet d’exécuter du JavaScript arbitraire, de détourner une session utilisateur, de modifier les identifiants de compte et même, dans certains cas, d’accéder à des ressources internes via SSRF.

📊 Une menace encore largement présente

D’après les recherches d’OX Security :

  • 128 864 instances Grafana sont exposées en ligne.
  • 46 506 d’entre elles (environ 36 %) restent vulnérables à cette faille.
  • L’exploitation ne requiert aucune élévation de privilège ni authentification préalable.
  • Le plugin Grafana concerné est activé par défaut.

🧪 Comment l’exploitation fonctionne-t-elle ?

  • L’utilisateur clique sur un lien piégé.
  • Le lien exploite une redirection pour charger un plugin malveillant depuis un domaine contrôlé par l’attaquant.
  • Ce plugin modifie le comportement de Grafana via des scripts côté client.
  • L’attaquant peut alors :
    • Voler ou détourner une session active.
    • Modifier l’adresse email de l’utilisateur.
    • Réinitialiser le mot de passe du compte.

Malgré la présence d’une Content Security Policy (CSP), celle-ci ne suffit pas à bloquer l’exécution du code malveillant.

🛡️ Comment se protéger ?

Les administrateurs doivent mettre à jour Grafana rapidemment vers l’une des versions corrigées publiées le 21 mai 2025 :

10.4.18+security-01 11.2.9+security-01 11.3.6+security-01 11.4.4+security-01 11.5.4+security-01 11.6.1+security-01 12.0.0+security-01

📣 Conclusion

Cette vulnérabilité surnommée “The Grafana Ghost” constitue une menace sérieuse à cause de sa facilité d’exploitation et du nombre important d’instances non corrigées.

La mise à jour immédiate est fortement recommandée pour éviter toute compromission à distance.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/over-46-000-grafana-instances-exposed-to-account-takeover-bug/

🖴 Archive : https://web.archive.org/web/20250616090653/https://www.bleepingcomputer.com/news/security/over-46-000-grafana-instances-exposed-to-account-takeover-bug/