Grafana XSSOpenRedirectSSRF漏洞复现（CVE-2025-4123）

免责申明：

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

前言：

我们建立了一个更多，更全的知识库。每日追踪最新的安全漏洞并提供批量性检测脚本。

更多详情：

https://pc.fenchuan8.com/#/index?forum=101158&yqm=DGR4X

0x01 产品描述：

        Grafana 是一款开源的跨平台数据可视化与监控分析工具，广泛应用于实时指标展示、日志分析和运维监控领域。它支持多种数据源（如Prometheus、InfluxDB、Elasticsearch等），通过丰富的仪表盘模板和灵活的可视化组件（图表、警报、地理地图等），帮助用户将复杂数据转化为直观的图形界面。其特性包括多租户权限管理、自动化告警机制、插件化扩展生态，适用于IT运维、物联网、业务分析等场景，是构建智能化监控系统的核心工具之一。
0x02 漏洞描述：

        Grafana 中存在一个跨站脚本 ÿ