Grafana、Image Rendererプラグインの重大なセキュリティアップデートをリリース

Grafana Labsは、Grafana Image RendererプラグインおよびSynthetic Monitoring Agent向けの重大なセキュリティアップデートで、4件のChromium脆弱性に対応しました。

これらの問題はChromiumに影響し、オープンソースプロジェクトによって2週間前に修正されましたが、セキュリティ研究者のAlex Chapman氏からGrafanaコンポーネントでの悪用可能性を証明するバグバウンティ報告が寄せられました。

Grafanaはこのアップデートを「重大な深刻度のセキュリティリリース」と位置付け、ユーザーに対し、以下の脆弱性についてできるだけ早く修正を適用するよう推奨しています：

CVE-2025-5959 (高深刻度、スコア8.8) – V8 JavaScriptおよびWebAssemblyエンジンにおける型混同バグにより、細工されたHTMLページを介してサンドボックス内でリモートコード実行が可能
CVE-2025-6554 (高深刻度、スコア8.1) – V8における型混同により、攻撃者が悪意あるHTMLページを通じて任意のメモリ読み書きが可能
CVE-2025-6191 (高深刻度、スコア8.8) – V8の整数オーバーフローにより、範囲外メモリアクセスが可能となり、コード実行につながる可能性あり
CVE-2025-6192 (高深刻度、スコア8.8) – ChromeのMetricsコンポーネントにおけるuse-after-free脆弱性により、細工されたHTMLを介してヒープ破損が悪用される可能性

これらのセキュリティ問題は、Grafana Image Rendererバージョン3.12.9未満、およびSynthetic Monitoring Agentバージョン0.38.3未満に影響します。

Grafana Image Rendererは、本番環境で広く利用されているプラグインであり、スケジュールされたメールレポートやサードパーティシステムへの埋め込みのための自動ダッシュボードレンダリングが重要な場面で使用されています。

このプラグインはGrafanaにデフォルトで同梱されてはいませんが、プロジェクトによって公式にメンテナンスされており、数百万回ダウンロードされています。

Synthetic Monitoring Agentは、Grafana CloudのSynthetic Monitoringの一部であり、カスタムプローブロケーションや、内部ノードからの低遅延・高可視性チェックが必要な顧客、またはハイブリッド/マルチクラウドインフラでファイアウォールの内側で合成テストが必要な企業で利用されています。

Image Rendererほど広く展開されてはいませんが、それでも多くの高価値な環境で利用されています。

この2つのコンポーネントは、ダッシュボードのレンダリングにヘッドレスChromiumブラウザを含んでいるため、脆弱となっています。

Image Rendererプラグインの最新バージョンを取得するには、次のコマンドを使用してください：grafana-cli plugins install grafana-image-renderer。コンテナインストールの場合は、docker pull grafana/grafana-image-renderer:3.12.9を使用してください。

最新のSynthetic Monitoring AgentバージョンはGitHubからダウンロード可能です。コンテナのアップグレードには、docker pull grafana/synthetic-monitoring-agent:v0.38.3-browserを使用してください。

Grafana Labsによると、Grafana CloudおよびAzure Managed Grafanaインスタンスはすでにパッチ適用済みのため、外部ホスト型インスタンスを利用しているユーザーは追加の対応は不要です。

最近、Grafanaユーザーは緊急アップデート通知への反応が鈍いことが示されています。Ox Securityは先月、46,000以上のインスタンスが、ベンダーが5月に修正をリリースしたアカウント乗っ取りの脆弱性（公開エクスプロイトあり）に依然として晒されていることを指摘しました。