Grafana ออกอัปเดตความปลอดภัยระดับ Critical สำหรับ Image Renderer Plugin

Grafana Labs เร่งออกแพตช์แก้ไขช่องโหว่ Chromium 4 รายการที่ส่งผลกระทบต่อ Image Renderer plugin และ Synthetic Monitoring Agent หลังนักวิจัยด้านความปลอดภัยพิสูจน์ได้ว่าสามารถใช้โจมตีในส่วนประกอบของ Grafana ได้จริง

Grafana Labs ได้ประกาศอัปเดตความปลอดภัยระดับ Critical สำหรับแก้ไขช่องโหว่ที่มาจาก Chromium 4 รายการ ซึ่งส่งผลกระทบต่อ Image Renderer plugin และ Synthetic Monitoring Agent แม้ว่าช่องโหว่เหล่านี้จะได้รับการแก้ไขใน Chromium เมื่อ 2 สัปดาห์ที่ผ่านมา แต่นักวิจัยด้านความปลอดภัย Alex Chapman ได้ส่งรายงานผ่านโปรแกรม bug bounty พิสูจน์ให้เห็นว่าช่องโหว่เหล่านี้สามารถถูกใช้โจมตีในส่วนประกอบของ Grafana ได้จริง ทำให้ผู้ดูแลระบบควรรีบอัปเดตโดยเร็วที่สุด

ช่องโหว่ทั้ง 4 รายการที่ต้องแก้ไขประกอบด้วย CVE-2025-5959 (คะแนน 8.8) เป็นข้อผิดพลาดประเภท type confusion ใน V8 JavaScript engine ที่อาจทำให้ถูกรันโค้ดจากระยะไกล, CVE-2025-6554 (คะแนน 8.1) type confusion ใน V8 ที่ทำให้ผู้โจมตีอ่านและเขียนหน่วยความจำได้ตามต้องการ, CVE-2025-6191 (คะแนน 8.8) integer overflow ใน V8 ที่อาจนำไปสู่การเข้าถึงหน่วยความจำนอกขอบเขต และ CVE-2025-6192 (คะแนน 8.8) ช่องโหว่ use-after-free ใน Chrome Metrics ที่อาจทำให้เกิด heap corruption ปัญหาเหล่านี้ส่งผลกระทบต่อ Image Renderer เวอร์ชันก่อน 3.12.9 และ Synthetic Monitoring Agent เวอร์ชันก่อน 0.38.3 เนื่องจากทั้งสองส่วนประกอบใช้ headless Chromium browser สำหรับการ render dashboard

Image Renderer plugin เป็นส่วนประกอบที่ใช้กันอย่างแพร่หลายในสภาพแวดล้อม production สำหรับการสร้าง dashboard อัตโนมัติเพื่อส่งอีเมลรายงานตามกำหนดเวลา แม้จะไม่ได้ติดตั้งมาพร้อมกับ Grafana แต่ก็มียอดดาวน์โหลดหลายล้านครั้ง สำหรับการอัปเดต ผู้ใช้งานสามารถใช้คำสั่ง grafana-cli plugins install grafana-image-renderer หรือสำหรับ container ให้ใช้ docker pull grafana/grafana-image-renderer:3.12.9 ส่วน Synthetic Monitoring Agent สามารถดาวน์โหลดเวอร์ชันล่าสุดได้จาก GitHub หรือใช้ docker pull grafana/synthetic-monitoring-agent:v0.38.3-browser สำหรับ container Grafana ยืนยันว่า Grafana Cloud และ Azure Managed Grafana instances ได้รับการแพตช์แล้ว ผู้ใช้งานไม่ต้องดำเนินการใดๆ อย่างไรก็ตาม Ox Security รายงานเมื่อเดือนที่แล้วว่ายังมี Grafana instances กว่า 46,000 เครื่องที่ยังมีช่องโหว่จากการอัปเดตเมื่อเดือนพฤษภาคม แสดงให้เห็นว่าผู้ใช้งานหลายรายยังไม่ตื่นตัวกับการอัปเดตความปลอดภัย

ที่มา: https://www.bleepingcomputer.com/news/security/grafana-releases-critical-security-update-for-image-renderer-plugin/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …