انتشار بهروزرسانی امنیتی حیاتی توسط Grafana برای افزونه Image Renderer
Grafana بهروزرسانی امنیتی حیاتی برای افزونه Image Renderer و عامل Synthetic Monitoring منتشر کرد
شرکت Grafana Labs بهتازگی در یک بهروزرسانی امنیتی با شدت “بحرانی”، چهار آسیبپذیری مرتبط با مرورگر Chromium را که بر افزونه Grafana Image Renderer و Synthetic Monitoring Agent تأثیر میگذارند، برطرف کرده است.
اگرچه این آسیبپذیریها در پروژه متنباز Chromium دو هفته پیش اصلاح شده بودند، اما یک گزارش bug bounty توسط پژوهشگر امنیتی Alex Chapman به Grafana ارائه شد که قابلیت بهرهبرداری این نقصها را در اجزای مربوط به Grafana اثبات میکرد.
Grafana این بهروزرسانی را یک «نسخه امنیتی با شدت بحرانی» توصیف کرده و به کاربران هشدار داده است که وصلههای زیر را در اسرع وقت اعمال کنند:
آسیبپذیریهای بحرانی:
- CVE-2025-5959 (شدت بالا، امتیاز ۸٫۸): آسیبپذیری type confusion در موتور JavaScript و WebAssembly موسوم به V8 که امکان اجرای کد از راه دور در محیط sandbox را از طریق صفحات HTML ساختگی فراهم میکند.
- CVE-2025-6554 (شدت بالا، امتیاز ۸٫۱): آسیبپذیری type confusion در V8 که میتواند به خواندن/نوشتن دلخواه در حافظه منجر شود.
- CVE-2025-6191 (شدت بالا، امتیاز ۸٫۸): سرریز عددی (integer overflow) در V8 که امکان دسترسی خارج از محدوده به حافظه را فراهم کرده و میتواند منجر به اجرای کد شود.
- CVE-2025-6192 (شدت بالا، امتیاز ۸٫۸): آسیبپذیری use-after-free در مؤلفه Metrics مرورگر Chrome که میتواند باعث آسیب به heap و بهرهبرداری از طریق HTML دستکاریشده شود.
نسخههای آسیبپذیر:
- Grafana Image Renderer: نسخههای قبل از ۳٫۱۲٫۹
- Synthetic Monitoring Agent: نسخههای قبل از ۰٫۳۸٫۳
جزئیات افزونهها:
Grafana Image Renderer یکی از افزونههای پرکاربرد در محیطهای عملیاتی است که برای رندر خودکار داشبوردها در ایمیلهای زمانبندیشده یا سامانههای شخص ثالث به کار میرود. گرچه بهصورت پیشفرض در بسته اصلی Grafana وجود ندارد، این افزونه توسط تیم رسمی پروژه توسعه داده شده و میلیونها بار دانلود شده است.
Synthetic Monitoring Agent بخشی از سرویس Grafana Cloud Synthetic Monitoring محسوب میشود و توسط سازمانهایی که نیاز به نقاط بررسی سفارشی، تأخیر پایین، و نظارت در زیرساختهای ترکیبی یا چندابری دارند مورد استفاده قرار میگیرد. اگرچه به گستردگی افزونه Image Renderer استفاده نمیشود، اما در محیطهای باارزش بالا مستقر است.
هر دو مؤلفه از مرورگر headless Chromium برای رندر داشبورد استفاده میکنند، که منبع اصلی آسیبپذیریهای کشفشده بوده است.
راهنمای بهروزرسانی:
- برای نصب آخرین نسخه افزونه Image Renderer:
grafana-cli plugins install grafana-image-renderer
برای نصب در محیط کانتینری:
docker pull grafana/grafana-image-renderer:3.12.9
آخرین نسخه Synthetic Monitoring Agent از GitHub قابل دریافت است.
برای کانتینر:
docker pull grafana/synthetic-monitoring-agent:v0.38.3-browser
وضعیت سرویسهای ابری:
Grafana Labs اعلام کرده است که تمامی نمونههای Grafana Cloud و Azure Managed Grafana در حال حاضر وصله شدهاند و کاربران این سرویسها نیازی به اقدام خاصی ندارند.
با این حال، گزارش اخیر شرکت امنیتی Ox Security نشان میدهد که بخش قابل توجهی از کاربران، در مواجهه با اطلاعیههای بهروزرسانی امنیتی عملکرد مناسبی نداشتهاند؛ بهعنوان مثال، بیش از ۴۶ هزار نمونه همچنان نسبت به آسیبپذیری ربایش حساب (account takeover) که در ماه مه وصله شد، آسیبپذیر باقی ماندهاند.
بیانیه رسمی Grafana (بهروزرسانی ۷ ژوئیه):
«امنیت فرآیندی مستمر و مشارکتی است. ما بلافاصله پس از افشای این آسیبپذیریهای وابسته به طرف سوم، اقدام به وصله آنها کردیم. پس از دریافت گزارش از طریق برنامه bug bounty، بهروزرسانی مؤلفههای آسیبدیده را در اولویت قرار دادیم، تمامی سرویسهای Grafana Cloud را وصله کردیم و با ارائهدهندگان خدمات مدیریتشده همکاری نزدیکی داشتیم. با اینکه این CVEها مربوط به کتابخانه Chromium هستند، ما مسئولیت خود نسبت به جامعه و مشتریانمان را جدی میگیریم و به تمامی کاربران توصیه میکنیم فوراً بهروزرسانی کنند.»
— Joe McManus، مدیر ارشد امنیت اطلاعات (CISO)، Grafana Labs