O que é o plugin Image Renderer

O plugin Image Renderer do Grafana permite a geração de dashboards em formato de imagem. Ele utiliza um mecanismo Chromium sem interface gráfica para criar essas imagens, o que o torna vulnerável a ataques através de páginas HTML maliciosas.

Como funciona

O plugin funciona em conjunto com o Synthetic Monitoring Agent para capturar e renderizar visualizações do Grafana. Contudo, sua dependência do motor V8 do Chromium expõe sistemas a riscos de segurança, caso não esteja atualizado.

Sinais de alerta / Como identificar

As vulnerabilidades identificadas no plugin Image Renderer incluem:

• CVE���2025‑5959 (8.8): tipo confusion que permite execução de código em sandbox.
• CVE‑2025‑6554 (8.1): tipo confusion que viabiliza leitura e escrita arbitrária de memória.
• CVE‑2025‑6191 (8.8): estouro de inteiro possibilitando acesso fora de limites.
• CVE‑2025‑6192 (8.8): use-after-free que causa corrupção de heap.

O que fazer agora / Como se proteger

Para se proteger dessas vulnerabilidades, é crucial atualizar o plugin Image Renderer para a versão 3.12.9 ou superior. O Grafana Cloud e o Azure Managed Grafana já implementaram os patches automaticamente, mas instâncias locais requerem atenção imediata.

Prevenção / Boas práticas

Execute os seguintes passos para atualizar o plugin:

1. Acesse seu terminal.
2. Execute o comando: grafana-cli plugins install grafana-image-renderer.
3. Ou atualize via Docker com: docker pull grafana/grafana-image-renderer:3.12.9.

Perguntas frequentes

Quais versões do Image Renderer são afetadas?

As versões afetadas são anteriores à 3.12.9.

Como posso saber se minha instância do Grafana está vulnerável?

Verifique a versão do plugin Image Renderer instalado. Se for anterior à 3.12.9, sua instância está vulnerável.

O que é uma vulnerabilidade do tipo confusion?

Uma vulnerabilidade do tipo confusion permite que um atacante execute código malicioso ao confundir o compilador ou a máquina virtual, levando a comportamentos inesperados.