🧹 CVE-2025-6554 : Quand Grafana et Chromium t’invitent Ă  l’exĂ©cution de code Ă  distance (et au cafĂ©)

Grafana. Ce bel outil open source que tout le monde aime. Il est beau, il est pratique, il fait des graphiques dignes de PowerBI sans t’insulter la RAM. Tu le colles sur un serveur, tu balances Prometheus, Zabbix, ou n’importe quelle base de donnĂ©es, et paf ! Tu es un DevOps sexy. Mais voilĂ  : derriĂšre cette façade pleine de courbes, il y a Chromium. Et Chromium, parfois, c’est une boĂźte de Pandore.

Et aujourd’hui, la boĂźte s’est ouverte en grand avec CVE-2025-6554, une faille zero-day exploitĂ©e activement, patchĂ©e en urgence par les dĂ©veloppeurs de Grafana
 qui ont dĂ» se rĂ©veiller d’un coma de confiance aveugle.

🧠 La faille, expliquĂ©e sans vaseline

CVE-2025-6554, c’est un cadeau de la maison Chromium. Une faille dans la gestion mĂ©moire (use-after-free)permettant Ă  un attaquant d’exĂ©cuter du code arbitraire via une charge malveillante (genre un dashboard avec un petit composant bien tordu, une iframe dĂ©guisĂ©e en diagramme ou un joli SVG piĂ©gĂ©).

Cette vulnérabilité est particuliÚrement croustillante car :

  • Elle touche Grafana via son moteur embarquĂ© basĂ© sur Chromium.
  • Elle est dĂ©jĂ  exploitĂ©e dans la nature. Oui, ce n’est pas un POC sur GitHub, c’est dans ton rĂ©seau maintenant.
  • Elle peut corrompre la mĂ©moire, ouvrir des backdoors, extraire tes tokens d’API, ou mieux : transformer Grafana en porte dĂ©robĂ©e vers tout ton SI.

Bref, du pur bonheur pour un pentester
 ou un ransomware.

đŸ› ïž Versions concernĂ©es

Selon les premiers rapports :

  • Les versions 10.x de Grafana sont concernĂ©es.
  • Plus prĂ©cisĂ©ment, toutes les versions intĂ©grant un composant webview ou iframe en Chromium sans sandbox stricte.

Traduction : si tu as une version “moderne” avec jolis dashboards, t’es dans la sauce.

🐍 Pourquoi c’est (encore) un problùme monumental

Parce que Grafana, c’est rarement isolĂ©. C’est souvent le point d’entrĂ©e pour visualiser des donnĂ©es sensibles :

  • Statistiques d’usage d’applis critiques
  • Statuts des services mĂ©tiers
  • MĂ©triques d’infra avec tokens Prometheus, Elasticsearch, AWS ou Azure Ă  portĂ©e de clic
  • Scripts personnalisĂ©s, dashboards exposĂ©s par accident, et j’en passe.

Mais surtout
 parce que 99% des entreprises l’installent Ă  l’arrache, genre :

docker run grafana/grafana -p 3000:3000
…et hop, on expose tout ça sur Internet sans VPN, sans MFA, sans restriction IP.

Tu vois venir la suite ?

đŸŸ Et lĂ , arrive un attaquant curieux


Il scanne le web, trouve un port 3000 ou un reverse proxy mal configuré, tombe sur Grafana.
Puis il injecte un dashboard custom via une vulnĂ©rabilitĂ© ou un accĂšs admin oubliĂ© (ça arrive souvent), et boom : il exĂ©cute son propre code via Chromium.
Et tout ça en exploitant une faille dĂ©jĂ  documentĂ©e, et patchĂ©e trop tard chez toi.

🧯 Comment Ă©viter de pleurer dans la soupe

Voici un petit kit de survie, si tu ne veux pas voir Grafana devenir le pivot de ton prochain ransomware :

✅ Mets Ă  jour Grafana : version corrigĂ©e dispo depuis le 6 juillet 2025. Aucune excuse.
🔐 DĂ©sactive les plugins inutiles et les visualisations tierces.
đŸ§± Filtre l’accĂšs rĂ©seau Ă  Grafana : IP whitelist, VPN, bastion.
📉 DĂ©sactive l’édition publique des dashboards et les liens de partage externes.
đŸ•”ïžâ€â™‚ïž Regarde les logs : connexions suspectes, dashboards inconnus, accĂšs admin non lĂ©gitimes.
👼 Audit de surface d’attaque : Grafana n’est PAS un outil “passif”. Il peut exĂ©cuter du JavaScript embarquĂ©.

Et surtout : arrĂȘte de croire que les outils d’observabilitĂ© sont « hors du scope sĂ©curité ». Spoiler : ils ne le sont pas.

💣 Le vrai problùme derriùre le problùme

Ce n’est pas juste une faille Chromium. C’est un symptĂŽme plus profond :
👉 Les outils DevOps sont devenus des pĂ©pites pour les attaquants.
👉 Les composants embarquĂ©s (Electron, Chromium, WebKit
) introduisent une complexitĂ© incontrĂŽlable.
👉 Et les dĂ©ploiements « plug-and-pray » dans Docker ou Kubernetes ? Une bĂ©nĂ©diction pour les pirates.

đŸŽ€ Conclusion – Le graphique le plus dangereux de ton SI

Ton Grafana, c’est peut-ĂȘtre joli. Mais c’est aussi potentiellement le graphique qui t’expose Ă  la pire vulnĂ©rabilitĂ© de l’annĂ©e.

CVE-2025-6554, c’est pas juste un bug. C’est une leçon d’humilitĂ© pour tous ceux qui pensent que “ce n’est qu’un outil de visualisation”.

Alors update, durcis, cloisonne.
Et si tu veux faire vraiment pro : fais une alerte Zabbix si ton Grafana dĂ©passe 3 mois sans mise Ă  jour. Tu me remercieras plus tard.

🧠 RĂ©digĂ© avec mauvaise foi, cafĂ© noir et logs dans les yeux.

🧹 CVE-2025-6554 : Quand Grafana et Chromium t’invitent Ă  l’exĂ©cution de code Ă  distance (et au cafĂ©)
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut