La vulnérabilité permet aux attaquants de charger des plugins malveillants, de détourner des sessions et de créer des comptes administratifs sur des systèmes non corrigés.
Une vulnérabilité de scripts croisés (XSS) nouvellement découverte à Grafana – une plate-forme d’analyse et de visualisation open-source largement utilisée pour les développeurs – a mis des milliers de serveurs en danger de rachat complet.
Selon une analyse de sécurité OX, la vulnérabilité critique, surnommée «Grafana Ghost», expose les systèmes non corrigés aux attaques de scripts à redirection ouverte et à site croisé côté client.
« La vulnérabilité est une chaîne d’exploits, en commençant par un lien malveillant envoyé à la victime », ont déclaré des chercheurs d’Ox dans un article de blog. «Même les serveurs Grafana non directement connectés à Internet sont en danger, en raison du potentiel d’attaques aveugles qui exploitent la même faiblesse.»
Les chercheurs ont averti qu’un compte d’administrateur Grafana compromis pourrait avoir de graves conséquences, notamment un accès complet aux mesures internes et aux tableaux de bord, au contrôle des comptes d’utilisateurs et à la perturbation potentielle des opérations.
Environ 47 000 instances sont toujours en danger
La faille de sécurité a été découverte pour la première fois en mai 2025 par Alvaro Balada dans un programme de primes de bogues et a été divulguée par Grafana comme vulnérabilité d’une journée.
Plus encore sont probablement affectés derrière les pare-feu ou dans les réseaux segmentés, selon le Post.
« Tout en parlant d’un pourcentage élevé de serveurs Grafana accessibles au public, la vulnérabilité affecte également les instances de Grafana exécutées localement en créant une charge utile qui tire parti du nom de domaine et du port localement utilisés pour le service local », ont ajouté les chercheurs. Les exploits de travail pour les instances d’office et locaux ont été partagés dans le poste.
Selon un avis Grafana, la vulnérabilité a été fixée dans V10.4.18 + Security-01, V11.2.9 + Security-01, V11.3.6 + Security-01, V11.4.4 + Security-01, V11.5.4 + Security-01, V11.6.1 + Security-01 et V12.0.0 + Security-01 Versions.
Du redirect ouvert à la prise de contrôle alimentée par les plugins
Sur la base du POC partagé par Ox Security, l’exploit exploite un combo intelligent de la traversée du chemin du client et de la mécanique ouverte dans le statichandler de Grafana, le composant chargé de servir des fichiers statiques comme HTML, CSS, JavaScript et les images du serveur vers le navigateur de l’utilisateur.
Une attaque potentielle peut faire envoyer une URL fabriquée à la victime, ce qui les emmène dans un domaine malveillant. Une fois sur place, les utilisateurs sont amenés à charger un plugin Grafana non signé sans signé sans que l’attaquant ne nécessite un éditeur ou des droits d’administration.
Une fois que le plugin se charge, il exécute des javascripts contrôlés par l’attaquant dans le navigateur de la victime, conduisant potentiellement à des détournements de session, à un vol d’identification, à la création de connexions d’administration et à la modification des tableaux de bord.
De plus, une escalade de la demande de demande de serveur (SSRF) pour une abus à lecture complète est possible. « Cette vulnérabilité ne nécessite pas d’autorisations d’éditeur, et si l’accès anonyme est activé, le XSS fonctionnera. Si le plugin de rendu d’image Grafana est installé, il est possible d’exploiter la redirection ouverte pour réaliser un SSRF de lecture complet », a ajouté le Grafana Advisory. La mise à niveau vers les versions fixes de Grafana est recommandée pour atténuer complètement le problème contre les attaques des jours.
