Une vilaine vulnérabilité touche / touchait plus de 46 000 instances de Grafana connectées au Web. La vulnérabilité concerne une redirection côté client permettant l'exécution d'un plugin malveillant et la prise de contrôle du compte. Cette faille est connue sous la référence CVE-2025-4123 : "Une vulnérabilité de script intersite (XSS) existe dans Grafana, causée par la combinaison d'une traversée de chemin client et d'une redirection ouverte. Cela permet aux attaquants de rediriger les utilisateurs vers un site web hébergeant un plugin frontend exécutant du JavaScript arbitraire. Cette vulnérabilité ne nécessite pas d'autorisations et, si l'accès anonyme est activé, le XSS fonctionne. Si le plugin Grafana Image Renderer est installé, il est possible d'exploiter la redirection ouverte pour obtenir un SSRF en lecture complète. La politique de sécurité du contenu (CSP) par défaut de Grafana bloque le XSS via la directive « connect-src »".

Grafana indique que la faille est patchée dans les versions : v10.4.18+security-01, v11.2.9+security-01, v11.3.6+security-01, v11.4.4+security-01, v11.5.4+security-01, v11.6.1+security-01, and v12.0.0+security-01