انتشار به‌روزرسانی امنیتی حیاتی توسط Grafana برای افزونه Image Renderer

Grafana به‌روزرسانی امنیتی حیاتی برای افزونه Image Renderer و عامل Synthetic Monitoring منتشر کرد

شرکت Grafana Labs به‌تازگی در یک به‌روزرسانی امنیتی با شدت “بحرانی”، چهار آسیب‌پذیری مرتبط با مرورگر Chromium را که بر افزونه Grafana Image Renderer و Synthetic Monitoring Agent تأثیر می‌گذارند، برطرف کرده است.

اگرچه این آسیب‌پذیری‌ها در پروژه متن‌باز Chromium دو هفته پیش اصلاح شده بودند، اما یک گزارش bug bounty توسط پژوهشگر امنیتی Alex Chapman به Grafana ارائه شد که قابلیت بهره‌برداری این نقص‌ها را در اجزای مربوط به Grafana اثبات می‌کرد.

Grafana این به‌روزرسانی را یک «نسخه امنیتی با شدت بحرانی» توصیف کرده و به کاربران هشدار داده است که وصله‌های زیر را در اسرع وقت اعمال کنند:

آسیب‌پذیری‌های بحرانی:

  • CVE-2025-5959 (شدت بالا، امتیاز ۸٫۸): آسیب‌پذیری type confusion در موتور JavaScript و WebAssembly موسوم به V8 که امکان اجرای کد از راه دور در محیط sandbox را از طریق صفحات HTML ساختگی فراهم می‌کند.
  • CVE-2025-6554 (شدت بالا، امتیاز ۸٫۱): آسیب‌پذیری type confusion در V8 که می‌تواند به خواندن/نوشتن دلخواه در حافظه منجر شود.
  • CVE-2025-6191 (شدت بالا، امتیاز ۸٫۸): سرریز عددی (integer overflow) در V8 که امکان دسترسی خارج از محدوده به حافظه را فراهم کرده و می‌تواند منجر به اجرای کد شود.
  • CVE-2025-6192 (شدت بالا، امتیاز ۸٫۸): آسیب‌پذیری use-after-free در مؤلفه Metrics مرورگر Chrome که می‌تواند باعث آسیب به heap و بهره‌برداری از طریق HTML دست‌کاری‌شده شود.

نسخه‌های آسیب‌پذیر:

  • Grafana Image Renderer: نسخه‌های قبل از ۳٫۱۲٫۹
  • Synthetic Monitoring Agent: نسخه‌های قبل از ۰٫۳۸٫۳

جزئیات افزونه‌ها:

Grafana Image Renderer یکی از افزونه‌های پرکاربرد در محیط‌های عملیاتی است که برای رندر خودکار داشبوردها در ایمیل‌های زمان‌بندی‌شده یا سامانه‌های شخص ثالث به کار می‌رود. گرچه به‌صورت پیش‌فرض در بسته اصلی Grafana وجود ندارد، این افزونه توسط تیم رسمی پروژه توسعه داده شده و میلیون‌ها بار دانلود شده است.

Synthetic Monitoring Agent بخشی از سرویس Grafana Cloud Synthetic Monitoring محسوب می‌شود و توسط سازمان‌هایی که نیاز به نقاط بررسی سفارشی، تأخیر پایین، و نظارت در زیرساخت‌های ترکیبی یا چندابری دارند مورد استفاده قرار می‌گیرد. اگرچه به گستردگی افزونه Image Renderer استفاده نمی‌شود، اما در محیط‌های باارزش بالا مستقر است.

هر دو مؤلفه از مرورگر headless Chromium برای رندر داشبورد استفاده می‌کنند، که منبع اصلی آسیب‌پذیری‌های کشف‌شده بوده است.

راهنمای به‌روزرسانی:

  • برای نصب آخرین نسخه افزونه Image Renderer:

grafana-cli plugins install grafana-image-renderer

برای نصب در محیط کانتینری:

docker pull grafana/grafana-image-renderer:3.12.9

آخرین نسخه Synthetic Monitoring Agent از GitHub قابل دریافت است.

برای کانتینر:

docker pull grafana/synthetic-monitoring-agent:v0.38.3-browser

وضعیت سرویس‌های ابری:

Grafana Labs اعلام کرده است که تمامی نمونه‌های Grafana Cloud و Azure Managed Grafana در حال حاضر وصله شده‌اند و کاربران این سرویس‌ها نیازی به اقدام خاصی ندارند.

با این حال، گزارش اخیر شرکت امنیتی Ox Security نشان می‌دهد که بخش قابل توجهی از کاربران، در مواجهه با اطلاعیه‌های به‌روزرسانی امنیتی عملکرد مناسبی نداشته‌اند؛ به‌عنوان مثال، بیش از ۴۶ هزار نمونه همچنان نسبت به آسیب‌پذیری ربایش حساب (account takeover) که در ماه مه وصله شد، آسیب‌پذیر باقی مانده‌اند.

بیانیه رسمی Grafana (به‌روزرسانی ۷ ژوئیه):

«امنیت فرآیندی مستمر و مشارکتی است. ما بلافاصله پس از افشای این آسیب‌پذیری‌های وابسته به طرف سوم، اقدام به وصله‌ آن‌ها کردیم. پس از دریافت گزارش از طریق برنامه bug bounty، به‌روزرسانی مؤلفه‌های آسیب‌دیده را در اولویت قرار دادیم، تمامی سرویس‌های Grafana Cloud را وصله کردیم و با ارائه‌دهندگان خدمات مدیریت‌شده همکاری نزدیکی داشتیم. با اینکه این CVEها مربوط به کتابخانه Chromium هستند، ما مسئولیت خود نسبت به جامعه و مشتریانمان را جدی می‌گیریم و به تمامی کاربران توصیه می‌کنیم فوراً به‌روزرسانی کنند.»
Joe McManus، مدیر ارشد امنیت اطلاعات (CISO)، Grafana Labs

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا