Recentemente, o Grafana Labs anunciou uma atualização urgente do plugin Image Renderer, após identificarem quatro vulnerabilidades graves ligadas ao mecanismo Chromium. Essas falhas podem permitir execução remota de código em ambientes que utilizam o plugin.
No dia 3 de julho de 2025, o BleepingComputer revelou que o plugin Image Renderer e o Synthetic Monitoring Agent estavam afetados por vulnerabilidades críticas no motor V8 do Chromium. São elas:
-
CVE‑2025‑5959 (pontuação 8.8): tipo confusion que permite execução de código em sandbox.
-
CVE‑2025‑6554 (8.1): tipo confusion que viabiliza leitura e escrita arbitrária de memória.
-
CVE‑2025‑6191 (8.8): estouro de inteiro possibilitando acesso fora de limites.
-
CVE‑2025‑6192 (8.8): use-after-free que causa corrupção de heap
Essas vulnerabilidades afetam versões anteriores à 3.12.9 do Image Renderer e anteriores à 0.38.3 do Synthetic Monitoring Agent. Como ambos utilizam um Chromium sem interface gráfica para gerar dashboards, estão expostos a ataques via páginas HTML maliciosas
O Grafana Cloud e o Azure Managed Grafana já receberam os patches automaticamente, mas instâncias locais ainda demandam atenção imediata
Dica de prevenção
Atualize o plugin Image Renderer para pelo menos a versão 3.12.9 usando o comando
grafana-cli plugins install grafana-image-renderer
ou atualize via Docker:
Para o Synthetic Monitoring Agent, instale a versão 0.38.3 (via CLI ou Docker). Também recomenda-se restringir o uso de plugins, implementar limitações de rede (egress), restringir acesso anônimo e manter logs e monitoramento ativo.
Essa atualização destaca como bibliotecas de terceiros podem introduzir riscos em sistemas críticos. Se você usa instâncias locais do Grafana, aplique os patches imediatamente. Para segurança robusta na sua infraestrutura de observabilidade, a LC SEC oferece suporte especializado com auditorias, configurações seguras e monitoramento constante.
Conheça nossos serviços em lcsec.io
Compartilhe nas redes sociais:
