Grafana Labs ha publicado actualizaciones de seguridad para corregir una vulnerabilidad crítica en su popular plataforma de visualización y monitoreo, Grafana, que permite el secuestro de cuentas mediante carga de plugins maliciosos, ejecución de código arbitrario, y explotación vía redirecciones abiertas y XSS. Aunque ya existe un parche oficial, más de 46.000 instancias públicas siguen siendo vulnerables, por lo que se recomienda aplicar las actualizaciones lo antes posible.
Vulnerabilidad en Grafana
CVE-2025-4123 – Crítica (CVSS 9.8): Vulnerabilidad de tipo cross-site scripting (XSS) combinada con path traversal y open redirect, identificada como «The Grafana Ghost», permite a un atacante enviar un enlace especialmente diseñado a un usuario. Al hacer clic, se carga un plugin no autorizado desde un servidor externo controlado por el atacante, el cual ejecuta código malicioso en el navegador del usuario, pudiendo:
- Cambiar el correo electrónico asociado a la cuenta Grafana.
- Forzar un restablecimiento de contraseña.
- Obtener control total del usuario objetivo.
El ataque no requiere permisos elevados ni autenticación, y es viable incluso con el acceso anónimo habilitado. Además, si está instalado el plugin Grafana Image Renderer, es posible explotar la vulnerabilidad para realizar ataques SSRF (Server-Side Request Forgery).
Productos y versiones afectadas
| Producto | Versiones vulnerables |
|---|---|
| Grafana | 11.3.0 – 11.3.5 11.4.0 – 11.4.3 11.5.0 – 11.5.3 11.6.0 12.0.0 |
Instancias que operen con estas versiones se consideran vulnerables y requieren acción inmediata.
Solución
Grafana Labs ha publicado versiones seguras que corrigen completamente la vulnerabilidad CVE-2025-4123. Se recomienda actualizar a una de las siguientes versiones o superiores:
| Línea de versión | Versión segura mínima |
|---|---|
| 10.x | 10.4.18+security-01 |
| 11.2.x | 11.2.9+security-01 |
| 11.3.x | 11.3.6+security-01 |
| 11.4.x | 11.4.4+security-01 |
| 11.5.x | 11.5.4+security-01 |
| 11.6.x | 11.6.1+security-01 |
| 12.x | 12.0.0+security-01 |
Recomendaciones
- Actualizar de inmediato a una versión corregida en todos los entornos Grafana identificados como vulnerables.
- Deshabilitar el acceso anónimo si no es estrictamente necesario.
- Auditar accesos recientes y comportamiento de usuarios en busca de intentos de cambio de correo, reseteos de contraseña u otras anomalías.
- Implementar reglas de monitoreo que alerten sobre el uso de plugins no firmados o URLs externas inusuales.
- Desinstalar el plugin Grafana Image Renderer si no se utiliza.
Referencias
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-4123
- https://www.ox.security/confirmed-critical-the-grafana-ghost-exposes-36-of-public-facing-instances-to-malicious-account-takeover/
- https://www.bleepingcomputer.com/news/security/over-46-000-grafana-instances-exposed-to-account-takeover-bug/