Uma vulnerabilidade no Grafana pode permitir a execução arbitrária de código

Existe uma vulnerabilidade no Grafana que pode resultar na execução de código arbitrário. Os detalhes da vulnerabilidade são os seguintes:

Tática:Execução (TA0002):

Técnica: Execução do usuário: arquivo malicioso (T1204):

• Existe uma vulnerabilidade de script entre sites (XSS) no Grafana causada pela combinação de uma passagem de caminho do cliente e um redirecionamento aberto. Isso permite que os invasores redirecionem os usuários para um site que hospeda um plug-in de front-end que executará JavaScript arbitrário. Esta vulnerabilidade não requer permissões de editor e, se o acesso anônimo estiver ativado, o XSS funcionará. Se o plug-in Grafana Image Renderer estiver instalado, é possível explorar o redirecionamento aberto para obter um SSRF de leitura completa. A vulnerabilidade também afeta as instâncias do Grafana executadas localmente, criando uma carga útil que aproveita o nome de domínio e a porta usados localmente para o serviço local. (CVE-2025-4123)

A exploração bem-sucedida pode permitir que um invasor execute plug-ins maliciosos e assuma contas de usuário sem precisar de privilégios elevados. Os usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos afetados do que aqueles que operam com direitos de usuário administrativos.

Recomendamos que as seguintes ações sejam tomadas:

• Aplique as atualizações apropriadas fornecidas pelo Grafana aos sistemas vulneráveis imediatamente após o teste apropriado. (M1051: Atualizar software)
• Salvaguarda 7.1: Estabelecer e manter um processo de gerenciamento de vulnerabilidades: Estabelecer e manter um processo documentado de gerenciamento de vulnerabilidades para ativos corporativos. Revise e atualize a documentação anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta Salvaguarda.
• Safeguard 7.4: Execute o gerenciamento automatizado de patches de aplicativos:Execute atualizações de aplicativos em ativos corporativos por meio do gerenciamento automatizado de patches mensalmente ou com mais frequência.
• Salvaguarda 7.7: Corrigir vulnerabilidades detectadas: Corrija vulnerabilidades detectadas no software por meio de processos e ferramentas mensalmente ou com mais frequência, com base no processo de correção.
• Salvaguarda 9.1: Garantir o uso apenas de navegadores e clientes de e-mail totalmente suportados: Certifique-se de que apenas navegadores e clientes de e-mail totalmente suportados tenham permissão para executar na empresa, usando apenas a versão mais recente de navegadores e clientes de e-mail fornecidos pelo fornecedor.
• Aplique o Princípio do Menor Privilégio a todos os sistemas e serviços. Execute todos os softwares como um usuário sem privilégios (sem privilégios administrativos) para diminuir os efeitos de um ataque bem-sucedido. (M1026: Gerenciamento de contas privilegiadas)
• Salvaguarda 4.7: Gerenciar contas padrão em ativos e software corporativos:Gerencie contas padrão em ativos e software corporativos, como raiz, administrador e outras contas de fornecedores pré-configuradas. Exemplos de implementações podem incluir: desabilitar contas padrão ou torná-las inutilizáveis.
• Salvaguarda 5.4: Restringir privilégios de administrador a contas de administrador dedicadas:Restrinja os privilégios de administrador a contas de administrador dedicadas em ativos corporativos. Realize atividades gerais de computação, como navegação na Internet, e-mail e uso do pacote de produtividade, a partir da conta principal e sem privilégios do usuário.
• Restrinja a execução de código a um ambiente virtual em ou em trânsito para um sistema de endpoint. (M1048: Isolamento de aplicativos e sandboxing)
• Use recursos para detectar e bloquear condições que possam levar ou ser indicativas da ocorrência de uma exploração de software. (M1050: Proteção contra exploits)
• Salvaguarda 10.5: Ative os recursos anti-exploração: Habilite recursos antiexploração em ativos e software corporativos, sempre que possível, como® Microsoft Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG) ou Apple® System Integrity Protection (SIP) e Gatekeeper™.
• Restringir o uso de determinados sites, bloquear downloads/anexos, bloquear Javascript, restringir extensões de navegador, etc. (M1021: Restringir conteúdo baseado na Web)
• Salvaguarda 9.2: Usar serviços de filtragem de DNS: Use os serviços de filtragem de DNS em todos os ativos corporativos para bloquear o acesso a domínios mal-intencionados conhecidos.
• Salvaguarda 9.3: Manter e aplicar filtros de URL baseados em rede: Aplique e atualize filtros de URL baseados em rede para limitar a conexão de um ativo corporativo a sites potencialmente mal-intencionados ou não aprovados. Exemplos de implementações incluem filtragem baseada em categoria, filtragem baseada em reputação ou por meio do uso de listas de bloqueio. Aplique filtros para todos os ativos corporativos.
• Salvaguarda 9.6: Bloquear tipos de arquivos desnecessários: Bloqueie tipos de arquivos desnecessários que tentam entrar no gateway de e-mail da empresa.
• Informe e eduque os usuários sobre as ameaças representadas por links de hipertexto contidos em e-mails ou anexos, especialmente de fontes não confiáveis. Lembre os usuários de não visitar sites não confiáveis ou seguir links fornecidos por fontes desconhecidas ou não confiáveis. (M1017: Treinamento de usuários)
• Salvaguarda 14.1: Estabelecer e manter um programa de conscientização de segurança:Estabeleça e mantenha um programa de conscientização de segurança. O objetivo de um programa de conscientização de segurança é educar a força de trabalho da empresa sobre como interagir com ativos e dados corporativos de maneira segura. Realize treinamento na contratação e, no mínimo, anualmente. Revise e atualize o conteúdo anualmente ou quando ocorrerem mudanças significativas na empresa que possam afetar esta Proteção.
• Salvaguarda 14.2: Treinar membros da força de trabalho para reconhecer ataques de engenharia social:Treine os membros da força de trabalho para reconhecer ataques de engenharia social, como phishing, pré-mensagens de texto e utilização não autorizada.