Grafana Labs a corrigé quatre vulnérabilités Chromium dans des mises à jour de sécurité critiques pour le plug-in de rendu d’image Grafana et l’Agent de surveillance synthétique.
Bien que les problèmes affectent Chromium et aient été résolus par le projet open source il y a deux semaines, Grafana a reçu une soumission de prime de bogue du chercheur en sécurité Alex Chapman prouvant leur exploitabilité dans les composants Grafana.
Grafana décrit la mise à jour comme une « version de sécurité de gravité critique » et conseille aux utilisateurs d’appliquer les correctifs pour les vulnérabilités ci-dessous dès que possible:
CVE-2025-5959 (gravité élevée, score de 8,8)-un bogue de confusion de type dans le moteur JavaScript et WebAssembly V8 permet l’exécution de code à distance dans un bac à sable via une page HTML contrefaite
La confusion de type CVE-2025-6554 (gravité élevée, score 8.1) dans la version 8 permet aux attaquants d’effectuer une lecture/écriture arbitraire de la mémoire via une page HTML malveillante
CVE-2025-6191 (gravité élevée, score de 8,8) – le dépassement d’entier dans la V8 permet un accès mémoire hors limites, conduisant potentiellement à l’exécution de code
CVE-2025-6192 (gravité élevée, score de 8,8) – une vulnérabilité d’utilisation après libération dans le composant Métriques de Chrome pourrait entraîner une corruption de tas exploitable via du code HTML contrefait
Les problèmes de sécurité affectent les versions du moteur de rendu d’image Grafana antérieures à 3.12.9 et les versions de l’Agent de surveillance Syntétique antérieures à 0.38.3.
Le moteur de rendu d’image Grafana est un plug-in largement déployé dans les environnements de production où le rendu automatisé du tableau de bord pour les rapports par e-mail planifiés et l’intégration dans des systèmes tiers sont cruciaux.
Même s’il n’est pas fourni par défaut dans Grafana, le plugin est officiellement maintenu par le projet et compte des millions de téléchargements.
L’Agent de surveillance synthétique fait partie de la surveillance synthétique de Grafana Cloud, utilisé par les clients qui ont besoin d’emplacements de sonde personnalisés, de contrôles à faible latence et à haute visibilité à partir de nœuds internes et d’entreprises avec une infrastructure hybride ou multicloud nécessitant des tests synthétiques derrière des pare-feu.
Il n’est pas aussi largement déployé que l’image rendue, mais il peut encore être trouvé dans un nombre important d’environnements de grande valeur.
Les deux composants sont vulnérables car ils incluent un navigateur Chromium sans tête pour le rendu des tableaux de bord.
Pour obtenir la dernière version du plug-in de rendu d’image, utilisez la commande: grafana-cli plugins install grafana-image-renderer. Pour les installations de conteneurs, utilisez: docker pull grafana / grafana-image-renderer: 3.12.9.
La dernière version de l’Agent de surveillance synthétique peut être téléchargée à partir de GitHub. Pour la mise à niveau du conteneur, utilisez: docker pull grafana / synthetic-monitoring-agent: v0.38.3-browser.
Grafana Labs indique que les instances Grafana Cloud et Azure Managed Grafana ont été corrigées, de sorte que les utilisateurs s’appuyant sur des instances hébergées en externe n’ont aucune action à entreprendre.
Les utilisateurs de Grafana n’ont pas montré de bons réflexes contre les avis de mise à jour urgents récemment. Ox Security a souligné le mois dernier que plus de 46 000 instances restaient vulnérables à une faille de prise de contrôle de compte avec un exploit public pour lequel le fournisseur a publié des correctifs en mai.