Vulnerabilidad crítica en plugin de Grafana

Grafana Labs ha publicado una actualización de seguridad crítica para abordar múltiples vulnerabilidades en su plugin Image Renderer y en el Synthetic Monitoring Agent. Estas fallas, identificadas en el motor V8 de Chromium, podrían permitir a atacantes remotos ejecutar código arbitrario en entornos afectados mediante páginas HTML.

CVE-2025-5959 – Permite ejecución remota de código dentro de un sandbox mediante una página HTML maliciosa.

CVE-2025-6554 – Esta vulnerabilidad permite a atacantes remotos realizar operaciones de lectura y escritura arbitrarias en la memoria mediante páginas HTML especialmente diseñadas, lo que puede conducir a la ejecución de código malicioso en el sistema afectado.

CVE-2025-6191 – Permite que un atacante remoto, mediante una página HTML, acceda a áreas de memoria fuera de los límites permitidos, lo que podría conducir a la ejecución de código arbitrario.

CVE-2025-6192 – Esta vulnerabilidad permite que un atacante remoto, mediante una página HTML especialmente diseñada, provoque una corrupción de memoria en el heap. Esto puede llevar a la ejecución arbitraria de código dentro del contexto del navegador afectado.

Productos y versiones afectadas

ProductoVersión afectadaSolución
Grafana Image RendererTodas las versiones anteriores a la 3.12.9Actualizar a la versión 3.12.9
Synthetic Monitoring AgentTodas las versiones anteriores a la 0.38.3Actualizar a la versión 0.38.3
Detalle de la vulnerabilidad

Recomendaciones

  • Actualizar inmediatamente el plugin Image Renderer y el Synthetic Monitoring Agent a las versiones más recientes.
  • Revisar las configuraciones de seguridad y restringir el acceso a los componentes afectados.
  • Monitorear los sistemas en busca de actividades sospechosas o intentos de explotación.
  • Implementar políticas de seguridad que limiten la ejecución de código no autorizado.

Referencias