Grafana Labs近日发布了针对Image Renderer插件和Synthetic Monitoring Agent的重大安全更新,以解决四个Chromium漏洞。这些问题之前已在开源项目中修复,但安全研究员Alex Chapman通过漏洞赏金计划向Grafana提交了这些漏洞在Grafana组件中的可利用性证明。
Grafana将此次更新描述为“严重安全性发布”,并建议用户尽快应用以下漏洞修复:
CVE-2025-5959(高严重性,评分8.8)——V8 JavaScript和WebAssembly引擎中的类型混淆漏洞,允许通过精心制作的HTML页面进行远程代码执行。
CVE-2025-6554(高严重性,评分8.1)——V8中的类型混淆使攻击者能够通过恶意HTML页面执行任意内存读写。
CVE-2025-6191(高严重性,评分8.8)——V8中的整数溢出允许越界内存访问,可能导致代码执行。
CVE-2025-6192(高严重性,评分8.8)——Chrome指标组件中的使用后释放漏洞可能导致通过精心制作的HTML进行堆内存破坏。
这些安全问题影响了3.12.9之前版本的Grafana Image Renderer和0.38.3之前版本的Synthetic Monitoring Agent。Image Renderer插件在生产环境中被广泛使用,而Synthetic Monitoring Agent是Grafana Cloud的一部分,用于需要定制探测位置和高可见性检查的客户。