Más de 46.000 instancias de Grafana con conexión a Internet permanecen sin parchear y expuestas a una vulnerabilidad de redirección abierta del lado del cliente que permite la ejecución de un complemento malicioso y la apropiación de cuentas.
La falla, identificada como CVE-2025-4123, afecta a varias versiones de la plataforma de código abierto utilizada para la monitorización y visualización de métricas de infraestructura y aplicaciones.
La vulnerabilidad fue descubierta por el cazarrecompensas español Álvaro Balada y se solucionó en las actualizaciones de seguridad que Grafana Labs publicó el 21 de mayo. Sin embargo, al momento de escribir este artículo, más de un tercio de todas las instancias de Grafana accesibles a través de internet público no han sido parcheadas, según investigadores de la empresa de seguridad de aplicaciones OX Security, quienes se refieren a la falla como "The Grafana Ghost".
Nota: Alvaro también ha encontrado una vulnerabilidad de XSS almacenado en Moodle (CVE-2025–26529).
Una cuenta de administrador de Grafana comprometida puede tener graves consecuencias:
- Acceso completo a métricas y paneles internos, incluyendo datos operativos confidenciales, registros e inteligencia empresarial.
- Control de cuentas: los atacantes pueden bloquear usuarios legítimos o eliminar cuentas.
- Interrupción operativa: sin acceso a herramientas de monitorización, las organizaciones podrían perder visibilidad de sistemas críticos.
- Afecta al 36 % de las instancias públicas de Grafana.
Los analistas informaron a BleepingComputer que su trabajo se centró en demostrar la capacidad de utilizar el hallazgo de Balada como arma. Tras identificar las versiones vulnerables al ataque, evaluaron la exposición correlacionando los datos con la distribución de la plataforma en el ecosistema.
Encontraron 128.864 instancias expuestas en línea, de las cuales 46.506 aún ejecutaban versiones vulnerables que aún podían ser explotadas. Esto representa un porcentaje cercano al 36%.
El análisis exhaustivo de OX Security sobre CVE-2025-4123 reveló que, mediante una serie de pasos de explotación que combinan la navegación de rutas del lado del cliente con mecanismos de redirección abierta, los atacantes pueden inducir a las víctimas a hacer clic en URL que conducen a la descarga de un complemento malicioso de Grafana desde un sitio web controlado por el actor de la amenaza.
Los investigadores afirman que los enlaces maliciosos podrían utilizarse para ejecutar JavaScript arbitrario en el navegador del usuario. El exploit no requiere privilegios elevados y puede funcionar incluso con el acceso anónimo habilitado.
La falla permite a los atacantes secuestrar sesiones de usuario, cambiar las credenciales de las cuentas y, si el plugin Grafana Image Renderer está instalado, realizar falsificaciones de solicitudes del lado del servidor (SSRF) para leer recursos internos.
Si bien la Política de Seguridad de Contenido (CSP) predeterminada de Grafana ofrece cierta protección, no impide su explotación debido a limitaciones en la aplicación del lado del cliente.
El exploit de OX Security demuestra que CVE-2025-4123 puede explotarse del lado del cliente y utilizarse para eludir los mecanismos de normalización de los navegadores modernos mediante la lógica de enrutamiento de JavaScript nativa de Grafana.
Esto permite a los atacantes explotar inconsistencias en el manejo de URL para servir plugins maliciosos, que a su vez modifican las direcciones de correo electrónico de los usuarios, lo que simplifica el secuestro de cuentas mediante el restablecimiento de contraseñas.
Aunque CVE-2025-4123 requiere varios requisitos de explotación, como la interacción del usuario, una sesión activa al hacer clic en el enlace y la activación de la función del complemento (activada por defecto), el gran número de instancias expuestas y la ausencia de autenticación crean una importante superficie de ataque.
Para mitigar el riesgo de explotación, se recomienda a los administradores de Grafana actualizar a las versiones 10.4.18+security-01, 11.2.9+security-01, 11.3.6+security-01, 11.4.4+security-01, 11.5.4+security-01, 11.6.1+security-01 y 12.0.0+security-01.
Fuente: BC | OX.Security