Grafana Labs vừa phát hành một bản vá bảo mật khẩn cấp dành cho hai thành phần quan trọng là plugin Image Renderer và Synthetic Monitoring Agent, sau khi phát hiện bốn lỗ hổng nghiêm trọng tồn tại trong thư viện Chromium được tích hợp bên trong các thành phần này. Mặc dù các lỗ hổng nói trên đã được đội ngũ Chromium khắc phục từ trước, chúng vẫn có khả năng bị khai thác trong môi trường Grafana do cách các plugin sử dụng Chromium ở chế độ headless. Phát hiện này được thực hiện bởi nhà nghiên cứu bảo mật Alex Chapman thông qua chương trình bug bounty, buộc Grafana Labs phải nhanh chóng phát hành bản cập nhật để giảm thiểu rủi ro cho người dùng.
Bốn lỗ hổng bảo mật được xác định đều có mức độ nghiêm trọng cao, với điểm CVSS dao động từ 8.1 đến 8.8. Cụ thể, CVE-2025-5959 và CVE-2025-6554 là các lỗi type confusion trong JavaScript engine V8 của Chromium. Những lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa hoặc thực hiện các thao tác đọc, ghi bộ nhớ tùy ý thông qua việc xử lý một trang HTML được thiết kế đặc biệt. Trong khi đó, CVE-2025-6191 liên quan đến lỗi tràn số nguyên trong V8, có thể dẫn đến truy cập ngoài vùng nhớ hợp lệ. Cuối cùng, CVE-2025-6192 là lỗi use-after-free trong thành phần Chrome Metrics, gây ra tình trạng lỗi bộ nhớ heap khi xử lý nội dung HTML độc hại. Tất cả các lỗi này đều có thể bị lợi dụng để làm hỏng bộ nhớ hoặc giành quyền kiểm soát tiến trình render.
Hai thành phần bị ảnh hưởng trực tiếp là Image Renderer (các phiên bản trước 3.12.9) và Synthetic Monitoring Agent (các phiên bản trước 0.38.3). Image Renderer là một plugin rất phổ biến trong các hệ thống Grafana triển khai thực tế, được sử dụng để chuyển đổi dashboard thành hình ảnh nhằm phục vụ báo cáo, chia sẻ hoặc nhúng vào các ứng dụng bên ngoài. Mặc dù plugin này không được cài đặt mặc định, nó đã ghi nhận hàng triệu lượt tải và xuất hiện trong rất nhiều môi trường sản xuất. Trong khi đó, Synthetic Monitoring Agent được sử dụng chủ yếu trong Grafana Cloud để thực hiện các bài kiểm thử hiệu năng và độ sẵn sàng từ nhiều vị trí mạng khác nhau trên toàn cầu. Dù mức độ phổ biến thấp hơn, thành phần này thường được triển khai trong các hệ thống có giá trị cao và yêu cầu độ tin cậy lớn.
Điểm chung giữa hai thành phần trên là đều tích hợp Chromium ở chế độ headless để render nội dung HTML. Chính việc phụ thuộc vào một engine trình duyệt phức tạp như Chromium đã khiến các plugin này chịu ảnh hưởng trực tiếp khi Chromium xuất hiện lỗ hổng bảo mật. Trong kịch bản bị khai thác, kẻ tấn công có thể cung cấp nội dung HTML độc hại để kích hoạt các lỗi trong V8 hoặc các module liên quan, từ đó gây ra thực thi mã hoặc phá hoại bộ nhớ trong tiến trình render của Grafana.
Trước mức độ rủi ro này, Grafana Labs khuyến nghị người dùng cần cập nhật ngay lập tức các thành phần bị ảnh hưởng. Đối với Image Renderer và Synthetic Monitoring Agent, người dùng có thể thực hiện cập nhật thông qua grafana-cli hoặc kéo các image Docker mới nhất tương ứng với phiên bản đã được vá, bao gồm Image Renderer 3.12.9 và Synthetic Monitoring Agent 0.38.3-browser. Đối với người dùng Grafana Cloud và Azure Managed Grafana, Grafana xác nhận rằng hệ thống đã được vá tự động, do đó không cần thực hiện thêm bất kỳ hành động thủ công nào.
Sự cố lần này một lần nữa cho thấy rủi ro tiềm ẩn khi các hệ thống phụ thuộc vào những thành phần bên ngoài có độ phức tạp cao như Chromium. Ngay cả khi lõi ứng dụng được bảo mật tốt, một plugin chậm cập nhật cũng có thể trở thành mắt xích yếu, mở đường cho các cuộc tấn công sâu vào toàn bộ hạ tầng giám sát. Trong bối cảnh Grafana thường được triển khai ở vị trí trung tâm của hệ thống quan sát và vận hành, việc đảm bảo các plugin và phụ thuộc được vá kịp thời là yêu cầu thiết yếu để tránh những hệ quả nghiêm trọng về an ninh.
