Grafana 紧急提前修复已被公开的XSS 0day漏洞、美国NIST、CISA联合提出漏洞利用概率度量标准、

2025-08-13 11:28:20 +00:00 · 2025-05-24 01:26:25 +00:00 · 2025-05-24 01:26:25 +00:00 · b3aa5e80c5
commit b3aa5e80c5
parent c33f6ffca4
3 changed files with 147 additions and 1 deletions
--- a/data.json
+++ b/data.json
@ -14386,5 +14386,7 @@
    "https://mp.weixin.qq.com/s?__biz=MzA4MDk4NTIwMg==&mid=2454064169&idx=1&sn=803b3b6b86b1bf480ceaca8bb9dabf2f": "信息安全漏洞周报【第023期】",
    "https://mp.weixin.qq.com/s?__biz=Mzg3MTU1MTIzMQ==&mid=2247497184&idx=2&sn=bf66200c70e5ee156d8588806cf02fc6": "等保测评中漏洞扫描：筑牢网络安全防线的关键利器",
    "https://mp.weixin.qq.com/s?__biz=MzIyMjQwMTQ3Ng==&mid=2247491417&idx=1&sn=91d65e10514e6fcaf5d6ac79e6a89331": "【国际视野】美国国家标准与技术研究院推出识别IT漏洞利用的公式",
-    "https://mp.weixin.qq.com/s?__biz=MzI3NzMzNzE5Ng==&mid=2247490126&idx=1&sn=607c8cc65f9c89318775ac76f0b30de8": "【漏洞预警】Grafana未授权跨站点脚本攻击XSS&SSRF漏洞"
+    "https://mp.weixin.qq.com/s?__biz=MzI3NzMzNzE5Ng==&mid=2247490126&idx=1&sn=607c8cc65f9c89318775ac76f0b30de8": "【漏洞预警】Grafana未授权跨站点脚本攻击XSS&SSRF漏洞",
+    "https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247523102&idx=2&sn=3eb6fe83ca06d69dbd0a16a7c73dcde3": "Grafana 紧急提前修复已被公开的XSS 0day漏洞",
+    "https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247514405&idx=2&sn=95d5bbef875789924cf08280da99f6fe": "美国NIST、CISA联合提出漏洞利用概率度量标准"
 }
--- a/doc/2025-05/Grafana
+++ b/doc/2025-05/Grafana
@ -0,0 +1,86 @@
+#  Grafana 紧急提前修复已被公开的XSS 0day漏洞   
+Ddos  代码卫士   2025-05-23 10:34  
+  
+![](https://mmbiz.qpic.cn/mmbiz_gif/Az5ZsrEic9ot90z9etZLlU7OTaPOdibteeibJMMmbwc29aJlDOmUicibIRoLdcuEQjtHQ2qjVtZBt0M5eVbYoQzlHiaw/640?wx_fmt=gif "")  
+   
+聚焦源代码安全，网罗国内外最新资讯！  
+  
+**编译：代码卫士**  
+  
+**Grafana Labs 披露了计划之外的安全发布，修复了一个高危XSS漏洞CVE-2025-4123（CVSS评分7.6）。**  
+  
+该XSS漏洞结合了一个客户端路径遍历漏洞和自定义前端插件中的一个开放重定向漏洞。该漏洞可导致攻击者将不知情的用户重定向至执行任意 JavaScript 代码的恶意网站，有可能劫持会话甚至导致账户遭完全接管。  
+  
+Grafana 发布安全公告指出，“该XSS漏洞可导致用户被重定向至外部网站并在浏览器中执行恶意 JavaScript。”和常见的需要编辑级别权限的XSS漏洞不同，只要启用了匿名访问权限，无需认证，CVE-2025-4123即可遭利用。另外，如果安装了 Grafana Image Renderer 插件，攻击面会扩展到完全的读取服务器端请求伪造 (SSRF) 场景。该安全公告提到，“和许多其它的XSS漏洞不同，该漏洞无需编辑者权限。如启用了匿名访问权限，则会启动XSS。”  
+  
+该漏洞影响所有受支持的 Grafana 版本，包括：Grafana 11.2至12.0版本，以及追溯至Grafana 8的所有不受支持汉本。值得注意的是，Grafana Cloud 用户不受影响。  
+  
+Grafana Labs迅速行动缓解该问题。尽管例行的补丁周期按计划在当地时间5月22日发布，但由于该漏洞遭公开披露，因此Grafana 提前一天推出修复方案。该安全公告提醒称，“我们在计划的前一天公开了CVE-2025-4123的安全补丁，因为我们发现该漏洞已遭公开。”  
+  
+建议用户立即升级 Grafana 版本，或者启用严格的内容安全策略，助力缓解该风险。Grafana Labs已提供官方 CSP 配置指南，以加固部署。管理员应立即采取措施，修复受影响系统并审计访问权限和插件配置。  
+  
+  
+****  
+代码卫士试用地址：  
+https://codesafe.qianxin.com  
+  
+开源卫士试用地址：https://oss.qianxin.com  
+  
+  
+  
+  
+  
+  
+  
+  
+  
+  
+  
+  
+  
+**推荐阅读**  
+  
+[Grafana 提醒注意严重的认证绕过漏洞](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247516818&idx=4&sn=9a52564b1d6d8454dd34dce86019d266&scene=21#wechat_redirect)  
+  
+  
+[Grafana 漏洞可导致管理员账户遭接管](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247513049&idx=1&sn=31af4654137f918dc610ee51cf05649a&scene=21#wechat_redirect)  
+  
+  
+[Grafana 中存在严重的未授权任意文件读取漏洞，已遭利用](https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247509616&idx=2&sn=27c5f9e457a2c2aa08753d9d0a67917e&scene=21#wechat_redirect)  
+  
+  
+  
+  
+  
+**原文链接**  
+  
+https://www.securityweek.com/critical-flaw-allows-remote-hacking-of-automationdirect-industrial-gateway/  
+  
+  
+题图：  
+Pixabay   
+License  
+  
+****  
+**本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。**  
+  
+  
+  
+  
+![](https://mmbiz.qpic.cn/mmbiz_jpg/oBANLWYScMSf7nNLWrJL6dkJp7RB8Kl4zxU9ibnQjuvo4VoZ5ic9Q91K3WshWzqEybcroVEOQpgYfx1uYgwJhlFQ/640?wx_fmt=jpeg "")  
+  
+![](https://mmbiz.qpic.cn/mmbiz_jpg/oBANLWYScMSN5sfviaCuvYQccJZlrr64sRlvcbdWjDic9mPQ8mBBFDCKP6VibiaNE1kDVuoIOiaIVRoTjSsSftGC8gw/640?wx_fmt=jpeg "")  
+  
+**奇安信代码卫士 (codesafe)**  
+  
+国内首个专注于软件开发安全的产品线。  
+  
+   ![](https://mmbiz.qpic.cn/mmbiz_gif/oBANLWYScMQ5iciaeKS21icDIWSVd0M9zEhicFK0rbCJOrgpc09iaH6nvqvsIdckDfxH2K4tu9CvPJgSf7XhGHJwVyQ/640?wx_fmt=gif "")  
+  
+   
+觉得不错，就点个 “  
+在看  
+” 或 "  
+赞  
+” 吧~  
+  
--- a/doc/2025-05/美国NIST、CISA联合提出漏洞利用概率度量标准.md
+++ b/doc/2025-05/美国NIST、CISA联合提出漏洞利用概率度量标准.md
@ -0,0 +1,58 @@
+#  美国NIST、CISA联合提出漏洞利用概率度量标准   
+ 安全内参   2025-05-23 08:41  
+  
+**关注我们**  
+  
+  
+**带你读懂网络安全**  
+  
+  
+  
+NIST和CISA号召行业协作。  
+  
+  
+编译：代码卫士  
+  
+CISA和NIST 的研究人员提出一项新的网络安全度量标准，旨在计算漏洞已遭在野利用的可能性。  
+  
+NIST研究员 Peter Mell 和 CISA 研究员 Jonathan Spring 发表论文，说明了他们所提出的“可能遭利用的漏洞 (LEV)” 的等式。  
+  
+软件和硬件每年都会被发现数以千计的漏洞，但只有较少比例的漏洞会遭在野利用。了解哪些漏洞已遭利用或者预测哪些漏洞遭利用的可能性对于组织机构优先打补丁而言至关重要。  
+  
+“已知遭利用的漏洞 (KEV)” 类的列表如由CISA维护的KEV以及依赖于数据来预测漏洞将被利用的可能性的“利用预测评分系统 (EPSS)”，能够发挥很重要的作用。然而，KEV列表的完整性可能欠佳，而EPSS的准确度可能不尽如人意。  
+  
+LEV 旨在增强而非取代多种KEV列表和EPSS，而这会通过等式实现。该等式会考虑多种变量如某个具体漏洞首次获得EPSS评分的日期、最新的KEV列表更新日期、纳入KEV的日期，以及在既定日期的EPSS分数等。  
+  
+论文提到，LEV至少可在四种用例中发挥作用。LEV计算出的概率能够度量威胁人员已利用的预期漏洞数量和比例，而且还能用于估测KEV列表的全面性。研究人员解释称，“此前，KEV维护人员无法通过一种度量标准来证明他们的列表在完成包含所有相关漏洞方面的表现。”  
+  
+此外，LEV计算出的概率有助于增强基于KEV和EPSS的漏洞修复优先级。对于KEV而言可识别可能缺失的更可能遭利用的漏洞，对于EPSS 则是找到可能评分过低的漏洞。  
+  
+虽然在理论上来讲，LEV对于漏洞处理优先级而言非常有用，但研究人员提到了协作的必要性，而NIST正在寻找“拥有相关数据集的”行业合作伙伴“以经验为基础来度量LEV概率的表现”。  
+  
+原文链接  
+  
+https://www.securityweek.com/vulnerability-exploitation-probability-metric-proposed-by-nist-cisa-researchers/  
+  
+  
+  
+**推荐阅读**  
+- [网安智库平台长期招聘兼职研究员](http://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247499450&idx=2&sn=2da3ca2e0b4d4f9f56ea7f7579afc378&chksm=ebfab99adc8d308c3ba6e7a74bd41beadf39f1b0e38a39f7235db4c305c06caa49ff63a0cc1d&scene=21#wechat_redirect)  
+  
+  
+- [欢迎加入“安全内参热点讨论群”](https://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247501251&idx=1&sn=8b6ebecbe80c1c72317948494f87b489&chksm=ebfa82e3dc8d0bf595d039e75b446e14ab96bf63cf8ffc5d553b58248dde3424fb18e6947440&token=525430415&lang=zh_CN&scene=21#wechat_redirect)  
+  
+  
+  
+  
+  
+  
+文章来源：代码卫士  
+  
+  
+点击下方卡片关注我们，  
+  
+带你一起读懂网络安全 ↓  
+  
+  
+  
+