Vulnérabilité CVE-2025-4123 : « Le Fantôme de Grafana » Zero-Day Permet le Détournement Malveillant de Comptes

Juin a été un mois turbulent pour les défenseurs du cyberespace, marqué par une vague de vulnérabilités de grande envergure ébranlant le paysage de la sécurité. Suite à l’exploitation des failles de SimpleRMM par le groupe de ransomware DragonForce et à l’utilisation active du CVE-2025-33053 WebDAV zero-day par le Stealth Falcon APT, les chercheurs ont maintenant identifié une autre menace critique.

Une nouvelle vulnérabilité zero-day corrigée dans Grafana, la plateforme d’analytique open-source largement utilisée, suscite de sérieuses préoccupations en matière de sécurité. Cette faille de type cross-site scripting (XSS) de grande gravité (CVE-2025-4123) permet aux attaquants d’exécuter des plugins malveillants et de prendre le contrôle des comptes utilisateurs sans nécessiter de privilèges élevés. Malgré la disponibilité d’un correctif, plus de 46 500 instances utilisent toujours des versions vulnérables, les exposant à un risque d’exploitation potentiel.

La faille critique dans Grafana rappelle brutalement un nombre croissant de vulnérabilités affectant les logiciels open-source. Selon l’ rapportd’Analyse de la Sécurité et des Risques Open Source de 2025 (OSSRA), 86 % des applications analysées contenaient des composants open-source vulnérables, 81 % abritant des vulnérabilités à risque élevé ou critique. Ces chiffres soulignent la nécessité de toujours se prémunir contre les nouvelles vulnérabilités de sorte que les professionnels de la sécurité nécessitent du contenu de détection pertinent et des outils avancés pour détecter les menaces à temps.

Inscrivez-vous à la plateforme SOC Prime pour accéder au flux mondial de menaces actives, qui offre des renseignements en temps réel sur les cybermenaces et des algorithmes de détection sélectionnés pour traiter les menaces émergentes. Toutes les règles sont compatibles avec plusieurs formats SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK® . De plus, chaque règle est enrichie de CTI liens, de chronologies des attaques, de configurations d’audit, de recommandations de triage et d’autres contextes pertinents. Appuyez sur le bouton Explore Detections pour voir l’ensemble de la pile de détection pour une défense proactive contre les vulnérabilités critiques filtrées par le tag « CVE ».

Explorez les détections

Les ingénieurs en sécurité peuvent également tirer parti de Uncoder AI—une IA privée, non-agentive, conçue pour l’ingénierie de détection informée par les menaces. Avec Uncoder, les défenseurs peuvent convertir automatiquement les IOCs en requêtes de chasse exploitables, élaborer des règles de détection à partir de rapports de menaces bruts, activer la prédiction des tags ATT&CK, exploiter l’optimisation des requêtes basée sur l’IA et traduire le contenu de détection à travers plusieurs plateformes.

Analyse du CVE-2025-4123

Les découvertes de OX Security illustrent que 36 % des instances de Grafana exposées au public sont actuellement vulnérables à une faille de redirection ouverte côté client qui pourrait entraîner l’exécution de plugins malveillants et la prise de contrôle des comptes, avec de nombreux autres systèmes probablement affectés au sein de réseaux segmentés ou derrière des pare-feu. Même les déploiements internes de Grafana, non directement connectés à Internet, restent à risque en raison de la possibilité d’attaques aveugles exploitant la même vulnérabilité sous-jacente. 

Suivi sous le code CVE-2025-4123, cette vulnérabilité XSS zero-day affecte plusieurs versions de la populaire plateforme de surveillance et de visualisation open-source. La faille, également surnommée « Le fantôme de Grafana », a été découverte en mai et corrigée par Grafana Labs dans les mises à jour de sécurité publiées le 21 mai. Même les déploiements internes de Grafana non directement connectés à l’Internet restent à risque en raison de la possibilité d’attaques aveugles exploitant la même vulnérabilité sous-jacente.

Bien que la politique de sécurité de contenu (CSP) par défaut de Grafana offre une certaine défense, elle est insuffisante en raison des limitations de l’application côté client. La vulnérabilité implique une chaîne d’exploits qui commence lorsqu’une victime clique sur un lien malveillant spécialement conçu. Cette URL armée incite Grafana à charger un plugin rogue à partir d’un serveur adversaire. Une fois chargé, le plugin peut exécuter du code arbitraire en tant qu’utilisateur, comme modifier le nom d’utilisateur Grafana de la victime et l’email de connexion par des valeurs contrôlées par l’attaquant ou les rediriger vers des services internes. Avec l’email modifié, l’attaquant peut initier une réinitialisation de mot de passe et prendre le contrôle total du compte de la victime.

Les chercheurs de OX Security ont utilisé un exploit PoC en direct pour démontrer avec succès la prise de contrôle de comptes sur des configurations locales de Grafana, prouvant que la faille est à la fois exploitable et facilement armabilisable. La menace s’étend également aux instances locales de Grafana. Comme montré dans le code PoC, la vulnérabilité peut être déclenchée entièrement depuis le côté client, contournant la normalisation du navigateur grâce au routage JavaScript natif de Grafana. 

Compromettre un compte administrateur Grafana peut donner aux attaquants le feu vert pour accéder à des tableaux de bord internes et à des données opérationnelles, y compris des journaux et des insights commerciaux, pour verrouiller les utilisateurs, supprimer des comptes ou usurper des rôles. De plus, les tentatives réussies d’exploitation du CVE-2025-4123 pourraient également potentiellement entraîner une défaillance de la surveillance, ce qui entraînerait une perte de visibilité sur les systèmes clés.

Bien que l’exploitation réussie dépende de conditions spécifiques, telles que l’interaction de l’utilisateur, une session active et la fonctionnalité de plugin activée (ce qui est le cas par défaut), l’absence de besoins d’authentification et le nombre élevé d’instances exposées augmentent considérablement la surface de menace.

Comme mesures potentielles d’atténuation du CVE-2025-4123, les administrateurs de Grafana sont fortement conseillés de mettre à jour vers une des versions corrigées, y compris 10.4.18+security-01, 11.2.9+security-01 ou version ultérieure, ou 12.0.0+security-01.

Avec plus de 46 000 instances Grafana exposées identifiées via Shodan, le CVE-2025-4123 représente une menace significative pour les organisations utilisant des versions affectées, ce qui nécessite des stratégies de défense rapides et proactives pour réduire le risque d’intrusions. La plate-forme SOC Prime propose une suite de produits complète soutenue par l’IA, des capacités d’automatisation, des CTI en temps réel, et construite sur les principes de zero-trust pour permettre aux organisations du monde entier d’agir plus vite que les attaquants.