IBM Flashsystem

Grafana ออกอัปเดตความปลอดภัยระดับ Critical สำหรับ Image Renderer Plugin

July 5, 2025 Cybersecurity, Threats Update

Grafana Labs เร่งออกแพตช์แก้ไขช่องโหว่ Chromium 4 รายการที่ส่งผลกระทบต่อ Image Renderer plugin และ Synthetic Monitoring Agent หลังนักวิจัยด้านความปลอดภัยพิสูจน์ได้ว่าสามารถใช้โจมตีในส่วนประกอบของ Grafana ได้จริง

Grafana Labs ได้ประกาศอัปเดตความปลอดภัยระดับ Critical สำหรับแก้ไขช่องโหว่ที่มาจาก Chromium 4 รายการ ซึ่งส่งผลกระทบต่อ Image Renderer plugin และ Synthetic Monitoring Agent แม้ว่าช่องโหว่เหล่านี้จะได้รับการแก้ไขใน Chromium เมื่อ 2 สัปดาห์ที่ผ่านมา แต่นักวิจัยด้านความปลอดภัย Alex Chapman ได้ส่งรายงานผ่านโปรแกรม bug bounty พิสูจน์ให้เห็นว่าช่องโหว่เหล่านี้สามารถถูกใช้โจมตีในส่วนประกอบของ Grafana ได้จริง ทำให้ผู้ดูแลระบบควรรีบอัปเดตโดยเร็วที่สุด

ช่องโหว่ทั้ง 4 รายการที่ต้องแก้ไขประกอบด้วย CVE-2025-5959 (คะแนน 8.8) เป็นข้อผิดพลาดประเภท type confusion ใน V8 JavaScript engine ที่อาจทำให้ถูกรันโค้ดจากระยะไกล, CVE-2025-6554 (คะแนน 8.1) type confusion ใน V8 ที่ทำให้ผู้โจมตีอ่านและเขียนหน่วยความจำได้ตามต้องการ, CVE-2025-6191 (คะแนน 8.8) integer overflow ใน V8 ที่อาจนำไปสู่การเข้าถึงหน่วยความจำนอกขอบเขต และ CVE-2025-6192 (คะแนน 8.8) ช่องโหว่ use-after-free ใน Chrome Metrics ที่อาจทำให้เกิด heap corruption ปัญหาเหล่านี้ส่งผลกระทบต่อ Image Renderer เวอร์ชันก่อน 3.12.9 และ Synthetic Monitoring Agent เวอร์ชันก่อน 0.38.3 เนื่องจากทั้งสองส่วนประกอบใช้ headless Chromium browser สำหรับการ render dashboard

Image Renderer plugin เป็นส่วนประกอบที่ใช้กันอย่างแพร่หลายในสภาพแวดล้อม production สำหรับการสร้าง dashboard อัตโนมัติเพื่อส่งอีเมลรายงานตามกำหนดเวลา แม้จะไม่ได้ติดตั้งมาพร้อมกับ Grafana แต่ก็มียอดดาวน์โหลดหลายล้านครั้ง สำหรับการอัปเดต ผู้ใช้งานสามารถใช้คำสั่ง grafana-cli plugins install grafana-image-renderer หรือสำหรับ container ให้ใช้ docker pull grafana/grafana-image-renderer:3.12.9 ส่วน Synthetic Monitoring Agent สามารถดาวน์โหลดเวอร์ชันล่าสุดได้จาก GitHub หรือใช้ docker pull grafana/synthetic-monitoring-agent:v0.38.3-browser สำหรับ container Grafana ยืนยันว่า Grafana Cloud และ Azure Managed Grafana instances ได้รับการแพตช์แล้ว ผู้ใช้งานไม่ต้องดำเนินการใดๆ อย่างไรก็ตาม Ox Security รายงานเมื่อเดือนที่แล้วว่ายังมี Grafana instances กว่า 46,000 เครื่องที่ยังมีช่องโหว่จากการอัปเดตเมื่อเดือนพฤษภาคม แสดงให้เห็นว่าผู้ใช้งานหลายรายยังไม่ตื่นตัวกับการอัปเดตความปลอดภัย

ที่มา: https://www.bleepingcomputer.com/news/security/grafana-releases-critical-security-update-for-image-renderer-plugin/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

FlexOlmo วิธีฝึกโมเดลภาษาใหม่ ไม่ต้องแชร์ข้อมูลอีกต่อไป

ทีมวิจัยจาก Allen Institute for Artificial Intelligence ประกาศว่าได้คิดค้น FlexOlmo แนวทางใหม่ในการพัฒนาโมเดลภาษา ที่สามารถเพิ่มความเป็นส่วนตัวของข้อมูลสำหรับฝึกอบรมได้

MetTel จับมือ Check Point เปิดตัวโซลูชันป้องกันภัยคุกคามมือถือสำหรับองค์กร

MetTel ผู้ให้บริการโซลูชันการสื่อสาร ประกาศความร่วมมือเชิงกลยุทธ์กับ Check Point Software Technologies เพื่อมอบโซลูชันการป้องกันภัยคุกคามทางมือถือขั้นสูงสำหรับลูกค้าองค์กร

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand