Grafana Labs, Grafana görüntü oluşturucu eklentisi ve sentetik izleme aracısı için kritik güvenlik güncellemelerinde dört krom güvenlik açıkına değinmiştir.
Sorunlar kromu etkilemesine ve iki hafta önce açık kaynaklı proje tarafından sabitlenmesine rağmen, Grafana güvenlik araştırmacısı Alex Chapman’dan Grafana bileşenlerinde sömürülebilirliklerini kanıtlayan bir hata ödülünü aldı.
Grafana, güncellemeyi “kritik önem güvenliği sürümü” olarak tanımlar ve kullanıcılara en kısa sürede güvenlik açıkları için düzeltmeleri uygulamalarını tavsiye eder:
CVE-2025-5959 (Yüksek Sözlük, 8.8 Puan)-V8 JavaScript ve Webassembly motorundaki Tip Karışık Hatası
CVE-2025-6554 (Yüksek Şiddetli, 8.1 Puan)-V8’de Tip Karışıklık, saldırganların kötü amaçlı bir HTML sayfası üzerinden keyfi bellek okumasını/yazmasını sağlar
CVE-2025-6191 (Yüksek Şiddetli, 8.8 puan)-V8’deki tamsayı taşma, sınır dışı bellek erişimine izin verir ve potansiyel olarak kod yürütmesine yol açar
CVE-2025-6192 (Yüksek Şiddetli, 8.8 Skor)-Chrome’un metrik bileşeninde kullanımda olmayan güvenlik açığı, hazırlanmış HTML aracılığıyla yığın yolsuzluğa neden olabilir
Güvenlik sorunları, 3.12.9’dan önceki Grafana görüntü oluşturucu sürümlerini ve 0.38.3’ten önce Syntentic İzleme Aracı sürümlerini etkiler.
Grafana Image Renderer, planlanan e-posta raporları için otomatik gösterge paneli oluşturmanın ve üçüncü taraf sistemlere gömülmenin çok önemli olduğu üretim ortamlarında yaygın olarak dağıtılan bir eklentidir.
Grafana’da varsayılan olarak paketlenmemiş olsa da, eklenti proje tarafından resmi olarak korunur ve milyonlarca indirme vardır.
Sentetik izleme ajanı, Grafana Cloud’un sentetik izlemesinin bir parçasıdır, özel prob konumlarına ihtiyaç duyan müşteriler tarafından, düşük gecikme, dahili düğümlerden yüksek görünürlük kontrolleri ve havai duvarların arkasında sentetik testlere ihtiyaç duyan hibrid veya çoklu kluch altyapısına sahip işletmelerdir.
Oluşturulan görüntü kadar yaygın olarak konuşlandırılmamıştır, ancak yine de önemli sayıda yüksek değerli ortamda bulunabilir.
İki bileşen vulnernerbale’dir, çünkü gösterge panoları oluşturmak için başsız bir krom tarayıcı içerirler.
Resim oluşturulan eklentinin en son sürümünü almak için şu komutu kullanın: grafana-cli plugins install grafana-image-renderer. Konteyner kurulumları için: docker pull grafana/grafana-image-renderer:3.12.9.
En son sentetik izleme aracısı sürümü GitHub’dan indirilebilir. Konteyner yükseltmesi için: docker pull grafana/synthetic-monitoring-agent:v0.38.3-browser.
Grafana Labs, Grafana Cloud ve Azure tarafından yönetilen Grafana örneklerinin yamalı olduğunu söylüyor, bu nedenle harici olarak barındırılan örneklere güvenen kullanıcıların herhangi bir işlem yapması gerekmiyor.
Grafana kullanıcıları son zamanlarda acil güncelleme bildirimlerine karşı iyi refleksler göstermedi. Ox Security, geçen ay 46.000’den fazla durumun, satıcının Mayıs ayında düzeltildiği kamu istismarıyla bir hesap devralma kusuruna karşı savunmasız kaldığını vurguladı.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.