Команда Grafana випустила критичне оновлення, що закриває чотири небезпечні вразливості Chromium, які могли бути використані для віддаленого виконання коду через спеціально сформовані HTML-сторінки. Під загрозою — Grafana Image Renderer і Synthetic Monitoring Agent, що використовують headless Chromium для рендерингу дашбордів. Оновлення вже доступні — користувачів закликають діяти негайно.
Вразливості були виявлені у V8-движку Chromium — і хоч Google уже їх закрив, плагіни Grafana залишилися вразливими через власну інтеграцію цього браузера. Етичний хакер Алекс Чапмен довів експлуатованість і повідомив через bug bounty програму.
Ось CVE, які закриває патч:
CVE-2025-5959 (8.8 балів) — type confusion у V8 → RCE через HTML
CVE-2025-6554 (8.1) — type confusion для читання/запису пам’яті
CVE-2025-6191 (8.8) — integer overflow → доступ поза межами буфера
CVE-2025-6192 (8.8) — use-after-free у Metrics → корупція heap
Уразливими є:
Grafana Image Renderer < 3.12.9
Synthetic Monitoring Agent < 0.38.3
Ці компоненти широко використовуються в автоматизованих звітах, рендерингу графіків у пошті, а також у cloud- і hybrid-інфраструктурах для перевірки доступності систем.
Grafana Image Renderer — плагін, що генерує зображення дашбордів для поштових звітів і зовнішніх систем. Він офіційно підтримується Grafana Labs, але не входить до базового пакету, тож користувачі мають оновити його вручну:
Так само й Synthetic Monitoring Agent, що використовується для перевірки SLA через кастомні локації:
Цей інцидент нагадує: інтеграція сторонніх бібліотек (як Chromium) — це не лише зручність, а й відповідальність. Навіть якщо основний проєкт уже виправив помилки, залежні сервіси можуть залишатися вразливими місяцями.
