Se ha lanzado una actualización de seguridad para abordar una vulnerabilidad de severidad alta en Grafana, una popular aplicación web para la visualización y el análisis de datos interactivos. Esta vulnerabilidad, si se explota, podría permitir a un actor malicioso ejecutar código arbitrario en los sistemas afectados.
Productos afectados
- 12.x, versiones anteriores a 12.0.0+security-01
- 11.6.x, versiones anteriores a 11.6.1+security-01
- 11.5.x, versiones anteriores a 11.5.4+security-01
- 11.4.x, versiones anteriores a 11.4.4+security-01
- 11.3.x, versiones anteriores a 11.3.6+security-01
- 11.2.x, versiones anteriores a 11.2.9+security-01
- 10.4.x, versiones anteriores a 10.4.18+security-01
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-4123: con una puntuación de 7.6 en CVSS v3.1. Existe una vulnerabilidad de scripts entre sitios (XSS) en Grafana causada por la combinación de un recorrido de ruta de cliente y una redirección abierta. Esto podría permitir a un actor malicioso redirigir a los usuarios a un sitio web que aloja un plug-in front-end que ejecuta JavaScript arbitrario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
https://grafana.com/blog/2025/05/21/grafana-security-release-high-severity-security-fix-for-cve-2025-4123/
https://www.cve.org/CVERecord?id=CVE-2025-4123