背景图片取自Visax on Unsplash

研究人员发现，资料视觉化软件Grafana 5月间修补的跨网站指令码（XSS）资安漏洞，仍然有超过4.6万台系统未更新版本而处于曝险状态。

Grafana是多平台开源资料分析及视觉化网页应用，可连结多种资料源生成图表、互动式仪表板及警示，常用于系统监控和即时资料分析。

5月21日Grafana接获外部研究人员通报一个跨站指令码（XSS）漏洞，编号CVE-2025-4123。该漏洞是结合终端路径穿越和开放重导向，可让攻击者将用户导向一个代管前端外挂的网站并执行任意JavaScript。滥用本漏洞不需编辑器(editor)许可，只要有匿名存取权就能执行XSS，后果包括劫持用户连线、变更帐号凭证。此外，如果用户安装了Grafana图像渲染（Image Render）外挂程序，攻击者还可能用它来执行开放重导向，导致可完整读取受害机器的服务器端请求伪造（Server-side request forgery，SSRF）。CVE-2025-4123 CVSS 3.1风险值为7.6。研发本软件的Grafana Labs已在5月释出更新版修补。

不过应用安全厂商OX Security发现，直到最近还有超过4万台系统仍未修补漏洞。研究人员利用Shodan搜寻，发现128,864台面向网际网路，其中46572个为未更新的Grafana执行个体。以所在地国家来看，以美国1.1万佔最大宗，其次为德国（6276）及巴西（3400）。

Grafana预设的内容安全政策可以透过connect-src指令防堵XSS，但只是权限措施。研究人员及Grafana Labs呼吁用户最好是更新软件以确保企业及系统安全。