Vulnerabilidad CVE-2025-4123: Zero-Day «El Fantasma de Grafana» Permite el Secuestro Malicioso de Cuentas
Junio ha sido un mes turbulento para los defensores cibernéticos, marcado por un aumento de vulnerabilidades de alto perfil que sacuden el panorama de seguridad. Tras la explotación de fallos de SimpleRMM por el grupo de ransomware DragonForce y el uso activo de la vulnerabilidad zero-day CVE-2025-33053 WebDAV por el APT Stealth Falcon, los investigadores han identificado ahora otra amenaza crítica.
Una nueva vulnerabilidad zero-day parcheada en Grafana, la popular plataforma de análisis de código abierto, está generando serias preocupaciones de seguridad. Esta falla de cross-site scripting (XSS) de alta severidad (CVE-2025-4123) permite a los atacantes ejecutar complementos maliciosos y tomar control de cuentas de usuario sin necesitar privilegios elevados. A pesar de la disponibilidad de un parche, más de 46,500 instancias aún están ejecutando versiones vulnerables, dejándolas abiertas a una posible explotación.
La falla crítica en Grafana es un recordatorio claro del número creciente de vulnerabilidades que afectan al software de código abierto. Según el informe del Análisis de Seguridad y Riesgo de Código Abierto de 2025 (OSSRA), el 86% de las aplicaciones analizadas contenían componentes de código abierto vulnerables, con el 81% albergando vulnerabilidades de riesgo alto o crítico. Estos números subrayan la necesidad de estar siempre alerta ante las nuevas vulnerabilidades, por lo que los profesionales de la seguridad requieren contenido relevante de detección y herramientas avanzadas para detectar amenazas a tiempo.
Regístrate en la Plataforma SOC Prime para acceder al feed global de amenazas activas, que ofrece inteligencia de amenazas cibernéticas en tiempo real y algoritmos de detección seleccionados para abordar amenazas emergentes. Todas las reglas son compatibles con múltiples formatos de SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK® . Además, cada regla se enriquece con enlaces, cronologías de ataques, configuraciones de auditoría, recomendaciones de triaje y más contexto relevante. Presiona el botón Explorar Detectores para ver todo el conjunto de detección para la defensa proactiva contra vulnerabilidades críticas filtradas por la etiqueta “CVE”. CTI links, attack timelines, audit configurations, triage recommendations, and more relevant context. Press the Explore Detections button to see the entire detection stack for proactive defense against critical vulnerabilities filtered by the “CVE” tag.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI—una IA privada, no agentica, diseñada específicamente para la ingeniería de detección basada en amenazas. Con Uncoder, los defensores pueden convertir automáticamente IOCs en consultas de caza accionables, crear reglas de detección a partir de informes de amenazas en bruto, habilitar la predicción de etiquetas ATT&CK, aprovechar la optimización de consultas impulsada por IA y traducir contenido de detección en múltiples plataformas.
Análisis del CVE-2025-4123
Los hallazgos de OX Security ilustran que el 36% de las instancias de Grafana de cara al público son actualmente vulnerables a una falla de redirección abierta del lado del cliente que podría conducir a la ejecución de complementos maliciosos y el secuestro de cuentas, con muchos más sistemas posiblemente afectados dentro de redes segmentadas o detrás de cortafuegos. Incluso los despliegues internos de Grafana, no conectados directamente a Internet, siguen en riesgo debido a la posibilidad de ataques ciegos explotando la misma vulnerabilidad subyacente.
Rastreado como CVE-2025-4123, esta vulnerabilidad XSS zero-day afecta a varias versiones de la popular plataforma de monitoreo y visualización de código abierto. La falla, también conocida como “El Fantasma de Grafana”, fue descubierta en mayo y parcheada por Grafana Labs en las actualizaciones de seguridad publicadas el 21 de mayo. Incluso los despliegues internos de Grafana no conectados directamente a Internet siguen en riesgo debido a la posibilidad de ataques ciegos explotando la misma vulnerabilidad subyacente.
Aunque la Política de Seguridad de Contenidos (CSP) por defecto de Grafana ofrece cierta defensa, se queda corta debido a las limitaciones de la aplicación del lado del cliente. La vulnerabilidad implica una cadena de explotaciones que comienza cuando una víctima hace clic en un enlace malicioso especialmente diseñado. Esta URL armada provoca que Grafana cargue un complemento fraudulento desde un servidor adversario. Una vez cargado, el complemento puede ejecutar códigos arbitrarios como el usuario, como cambiar el nombre de usuario y el correo electrónico de inicio de sesión de Grafana de la víctima a valores controlados por el atacante o redirigirlos a servicios internos. Con el correo electrónico cambiado, el atacante puede iniciar un restablecimiento de contraseña y tomar el control total de la cuenta de la víctima.
Los investigadores de OX Security utilizaron un exploit PoC en vivo para demostrar con éxito el secuestro de cuentas en configuraciones locales de Grafana, probando que la falla es tanto explotable como fácilmente armada. La amenaza se extiende también a las instancias locales de Grafana. Como se muestra en el código PoC, la vulnerabilidad puede activarse completamente desde el lado del cliente, evitando la normalización del navegador a través del enrutamiento de JavaScript nativo de Grafana.
Comprometer una cuenta de administrador de Grafana puede dar a los atacantes el visto bueno para obtener acceso a paneles internos y datos operativos, incluidos registros y perspectivas comerciales, para bloquear usuarios, eliminar cuentas o secuestrar roles. Además, los intentos de explotación exitosos del CVE-2025-4123 también podrían conllevar potencialmente a la falla de monitoreo, resultando en la pérdida de visibilidad en sistemas clave.
Aunque la explotación exitosa depende de condiciones específicas, como la interacción del usuario, una sesión activa y la función de complementos habilitada (que está de forma predeterminada), la falta de requisitos de autenticación y el alto número de instancias expuestas expanden significativamente la superficie de amenaza.
Como medidas de mitigación potencial del CVE-2025-4123, se aconseja firmemente a los administradores de Grafana que actualicen a una de las versiones parcheadas, incluyendo 10.4.18+security-01, 11.2.9+security-01 o posterior, o 12.0.0+security-01.
Con más de 46,000 instancias de Grafana expuestas identificadas a través de Shodan, el CVE-2025-4123 presenta una amenaza significativa para las organizaciones que ejecutan versiones afectadas, lo que demanda estrategias de defensa rápidas y proactivas para reducir el riesgo de intrusiones. La Plataforma SOC Prime gestiona un conjunto completo de productos respaldados por IA, capacidades de automatización, CTI en tiempo real, y construidos en principios de confianza cero para capacitar a organizaciones de todo el mundo para actuar más rápido que los atacantes.
