A Grafana Labs tratou de quatro vulnerabilidades do Chromium em atualizações de segurança críticas para o plugin Grafana Image Renderer e o Synthetic Monitoring Agent.
Embora os problemas afetem o Chromium e tenham sido corrigidos pelo projeto de código aberto há duas semanas, a Grafana recebeu uma submissão de bug bounty do pesquisador de segurança Alex Chapman, provando sua explorabilidade nos componentes da Grafana.
A Grafana descreve a atualização como um "lançamento de segurança de severidade crítica" e aconselha os usuários a aplicar as correções para as vulnerabilidades abaixo o mais rápido possível:
-
CVE-2025-5959
(alta severidade, pontuação 8.8) – bug de confusão de tipo no motor V8 JavaScript e WebAssembly permite execução de código remoto dentro de um sandbox por meio de uma página HTML elaborada.
-
CVE-2025-6554
(alta severidade, pontuação 8.1) – confusão de tipo no V8 permite aos atacantes realizar leitura/escrita de memória arbitrária por meio de uma página HTML maliciosa.
-
CVE-2025-6191
(alta severidade, pontuação 8.8) – superação de inteiro no V8 permite acesso à memória fora dos limites, potencialmente levando à execução de código.
-
CVE-2025-6192
(alta severidade, pontuação 8.8) – vulnerabilidade de uso após liberação no componente Metrics do Chrome pode causar corrupção de heap explorável por meio de HTML elaborado.
Os problemas de segurança impactam as versões do Grafana Image Renderer anteriores à 3.12.9, e as versões do Synthetic Monitoring Agent antes de 0.38.3.
O Grafana Image Renderer é um plugin amplamente implementado em ambientes de produção onde a renderização automatizada de dashboards para relatórios de e-mail agendados e a incorporação em sistemas de terceiros são cruciais.
Embora não seja empacotado por padrão no Grafana, o plugin é oficialmente mantido pelo projeto e tem milhões de downloads.
O Synthetic Monitoring Agent é parte do Synthetic Monitoring do Grafana Cloud, usado por clientes que necessitam de locais de sondas personalizados, verificações de baixa latência, alta visibilidade a partir de nós internos e empresas com infraestrutura híbrida ou multi-nuvem que necessitam de testes sintéticos por trás de firewalls.
Não é tão amplamente implementado quanto o Image Renderer, mas ainda pode ser encontrado em um número significativo de ambientes de alto valor.
Os dois componentes são vulneráveis porque incluem um navegador Chromium headless para renderização de dashboards.
Para obter a versão mais recente do plugin Image Renderer, use o comando: grafana-cli plugins install grafana-image-renderer.
Para instalações em contêiner, use: docker pull grafana/grafana-image-renderer:3.12.9.
A versão mais recente do Synthetic Monitoring Agent pode ser baixada do GitHub.
Para atualização em contêiner, use: docker pull grafana/synthetic-monitoring-agent:v0.38.3-browser.
A Grafana Labs afirma que as instâncias Grafana Cloud e Azure Managed Grafana foram corrigidas, então os usuários que dependem de instâncias hospedadas externamente não precisam tomar nenhuma ação.
Usuários da Grafana não têm demonstrado bons reflexos contra avisos de atualização urgentes recentemente.
A Ox Security destacou no mês passado que mais de 46.000 instâncias permaneceram vulneráveis a uma falha de tomada de conta com exploração pública, para a qual o fornecedor lançou correções em maio.
Atualização 7/3 - Grafana enviou o seguinte comentário ao site BleepingComputer:
"A segurança é um processo contínuo e colaborativo, e agimos rapidamente para mitigar essas vulnerabilidades de terceiros assim que foram divulgadas.
Assim que tomamos conhecimento dos problemas relacionados ao Chromium por meio do nosso programa de bug bounty, priorizamos as atualizações para os componentes impactados, emitimos correções para todos os serviços Grafana Cloud afetados e trabalhamos de perto com nossos parceiros de serviço gerenciado para garantir cobertura total.
Embora esses CVEs se originem na biblioteca do Chromium, levamos nossa responsabilidade com a comunidade e nossos clientes a sério e incentivamos todos os usuários a atualizar imediatamente." - Joe McManus, CISO, Grafana Labs
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...