Grafana Patches Chromium Bugs, Including Zero-Day Exploited in the Wild
2025/07/07 SecurityWeek — Grafana が公表したのは、Grafana Image Renderer Plugin/ Synthetic Monitoring Agent で使用される、Chromium ライブラリの深刻な脆弱性4件に対処する、セキュリティ・アップデートのリリースである。これらの問題の中で最も深刻なものは、Chrome の V8 JavaScript エンジンに存在するタイプコンヒュージョンの脆弱性である。この欠陥は、リモートからの任意のメモリ Read/Write を許すものであり、ゼロデイ脆弱性として実際に悪用されている。
先週に Google は、CVE-2025-6554 のエクスプロイトが存在することを認めている。その上で、Windows 版 Chrome バージョン 138.0.7204.96/.97/macOS 版 138.0.7204.92/.93/Linux 版 138.0.7204.96 で、この問題に対処したことを発表した。
V8 エンジンの別のタイプ・コンヒュージョンの脆弱性 CVE-2025-5959 に対しても、Grafana はパッチをリリースしている。この脆弱性を悪用する攻撃者は、細工された HTML ページを通じてサンドボックス環境内で、任意のコード実行の可能性を手にする。
Google によると、Windows/macOS 版の Chrome バージョン 137.0.7151.103/.104/Linux 版のバージョン 137.0.7151.103 で、CVE-2025-5959 は修正されている。
さらに Grafana は、Image Renderer Plugin/Synthetic Monitoring Agent における、Chrome V8 エンジンの整数オーバーフローの脆弱性 CVE-2025-6191 と、ブラウザの Profiler コンポーネントにおける、解放後メモリ使用後の脆弱性 CVE-2025-6192 に対してパッチを適用している。
これらの脆弱性については、Windows/macOS のバージョン 137.0.7151.119/.120 および、Linux 版 Chrome バージョン 137.0.7151.119 で、すでに修正済みである。これらの脆弱性を悪用するリモート攻撃者は、境界外メモリ・アクセスやヒープ破損の可能性を手にする。
Grafana によると、これらの脆弱性が影響を及ぼす範囲は、Grafana Image Renderer のバージョン 3.12.9 未満、および、Synthetic Monitoring Agent のバージョン 0.38.3 未満となる。ユーザーに対して推奨されるのは、パッチ適用済みのバージョンへの、速やかなアップデートである。
Grafana は、「Grafana Image Renderer Plugin を使用するユーザーと、Synthetic Monitoring Agent をローカルにインストールしているユーザーに対して、システムの速やかな更新を推奨する」と述べている。なお、クラウド・デプロイメントについては、すでに自動的に更新されていると指摘している。
Grafana のコンポーネントで使用される Chromium に、リモートからの悪用が可能な4件の深刻な脆弱性が見つかりました。特に V8 JavaScript エンジンの欠陥はゼロデイとして報告されており、早急なアップデートが重要だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-6554 で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.