Kritiske sårbarheder i Grafana Image Renderer-plugin og Synthetic Monitoring Agent
Grafana Labs har udgivet en kritisk sikkerhedsopdatering til Image Renderer-plugin’et og Synthetic Monitoring Agent, som retter fire alvorlige sårbarheder relateret til den underliggende Chromium-komponent. Det skriver Bleeping Computer.
Sårbarhederne blev oprindeligt udbedret i Chromium-projektet for cirka to uger siden, men deres praktiske udnyttelse i Grafana-komponenter blev påvist af en sikkerhedsresearcer via et bug bounty-program.
De berørte komponenter bruger en headless Chromium-browser til rendering af dashboards. Dette gør dem følsomme over for sårbarheder i browsermotoren, som kan udløses ved indlæsning af specialfremstillede HTML-sider – eksempelvis gennem automatiserede e-mails, visualiseringer eller eksterne systemkald.
Sårbarhederne påvirker alle versioner før 3.12.9 af Grafana Image Renderer og alle versioner før 0.38.3 af Synthetic Monitoring Agent.
Sårbarhederen er følgende:
- EUVD-2025-1481 (CVE-2025-5959), CVSS-score 8,8.
En type confusion-sårbarhed i V8-motoren i Chromium gør det muligt at udføre fjernkodeeksekvering i et sandboxet miljø via en specialdesignet HTML-side. V8 som er Googles open source JavaScript og WebAssembly engine - EUVD-2025-1482 (CVE-2025-6554), CVSS-score 8,1
En yderligere type confusion i V8, som tillader en angriber at læse eller skrive til vilkårlige steder i hukommelsen gennem ondsindet HTML. Kan medføre potentiel omgåelse af sandkasse og dataeksfiltration. - EUVD-2025-1483 (CVE-2025-6191), CVSS-score 8,8
Et integer overflow i V8 kan føre til out-of-bounds memory access, hvilket potentielt muliggør eksekvering af skadelig kode. - EUVD-2025-1484 (CVE-2025-6192), CVSS-score 8,8
En use-after-free-fejl i Chrome’s Metrics-komponent kan udløse heap-korruption, der kan udnyttes via en HTML-side.
Komponenterne er ofte installeret i produktionsmiljøer til automatisk generering af dashboards til e-mails, rapporter eller eksterne systemer. Selvom Image Renderer ikke følger med Grafana som standard, er det et officielt plugin med millioner af downloads. Synthetic Monitoring Agent anvendes i Grafana Cloud til syntetiske tests og anvendes især i virksomheder med hybrid- eller multicloud-infrastruktur.
Det anbefales, at alle brugere og administratorer af Grafana installerer de nyeste versioner af de berørte komponenter. Vejledning til opdatering findes på Grafanas hjemmeside, jf. linket neden for.
Brugere af Grafana Cloud og Azure Managed Grafana behøver ikke foretage sig yderligere, da disse tjenester allerede er blevet opdateret af Grafana Labs.
Læs mere
- https://grafana.com/blog/2025/07/02/grafana-security-update-critical-severity-security-release-for-cve-2025-5959-cve-2025-6554-cve-2025-6191-and-cve-2025-6192-in-grafana-image-renderer-plugin-and-synthetic-monitoring-agent/
- https://www.bleepingcomputer.com/news/security/grafana-releases-critical-security-update-for-image-renderer-plugin/