[KRCERT]Grafana Labs 제품 보안 업데이트 권고

내용 요약

Grafana Labs는 Grafana Image Renderer plugin과 Synthetic Monitoring Agent에서 발견된 여러 취약점 (CVE-2025-5959, CVE-2025-6191, CVE-2025-6192)을 해결한 보안 업데이트를 발표했습니다. 영향받는 제품을 사용하는 사용자는 최신 버전(Image Renderer plugin 3.12.9 이상, Synthetic Monitoring Agent 0.38.3 이상)으로 업데이트해야 합니다. 이 취약점들은 Chromium에서 발견된 취약점과 관련되어 있으며, Google Chrome 브라우저의 보안 업데이트 내용도 참고해야 합니다.

핵심 포인트

• Grafana Image Renderer plugin과 Synthetic Monitoring Agent에서 치명적인 보안 취약점 발견 및 패치 완료.
• 주요 취약점은 임의 코드 실행(CVE-2025-5959), 범위를 벗어난 메모리 액세스(CVE-2025-6191), Use After Free(CVE-2025-6192) 취약점.
• 영향받는 버전의 사용자는 즉시 최신 버전으로 업데이트 필요 (Image Renderer plugin 3.12.9 이상, Synthetic Monitoring Agent 0.38.3 이상).
• Chromium 기반 취약점 해결 반영, Chrome 브라우저 업데이트도 함께 권고.

기술 세부 내용

1️⃣ CVE-2025-5959 (Arbitrary Code Execution)

• 설명: Grafana Image Renderer plugin과 Synthetic Monitoring Agent에서 발견된 임의 코드 실행 취약점입니다. 공격자가 악의적인 코드를 실행하여 시스템을 제어할 수 있습니다.
• 영향: 시스템 손상, 데이터 유출, 서비스 중단 등 심각한 보안 위협 발생 가능.
• 해결 방안: Grafana Image Renderer plugin 3.12.9 이상, Synthetic Monitoring Agent 0.38.3 이상으로 업데이트. ⏫

2️⃣ CVE-2025-6191 (Out-of-bounds Memory Access)

• 설명: Grafana Image Renderer plugin과 Synthetic Monitoring Agent에서 발생하는 범위를 벗어난 메모리 액세스 취약점입니다. 허용된 메모리 범위를 벗어나 접근하여 시스템 불안정 또는 충돌을 유발할 수 있습니다.
• 영향: 애플리케이션 충돌, 서비스 거부(DoS) 공격에 악용될 가능성.
• 해결 방안: Grafana Image Renderer plugin 3.12.9 이상, Synthetic Monitoring Agent 0.38.3 이상으로 업데이트. ⏫

3️⃣ CVE-2025-6192 (Use After Free)

• 설명: Grafana Image Renderer plugin과 Synthetic Monitoring Agent에서 발생하는 Use After Free 취약점입니다. 이미 해제된 메모리 영역에 접근하여 예측 불가능한 동작이나 시스템 충돌을 유발할 수 있습니다.
• 영향: 시스템 불안정, 데이터 손상, 악성코드 실행 가능성.
• 해결 방안: Grafana Image Renderer plugin 3.12.9 이상, Synthetic Monitoring Agent 0.38.3 이상으로 업데이트. ⏫

4️⃣ Chromium 관련 취약점

• 설명: Google Chrome 브라우저의 하위 프로젝트인 Chromium에서 발견된 취약점이 Grafana 제품에도 영향을 미칩니다. Google Chrome의 보안 업데이트 내용을 참고하여 Grafana 제품의 보안 조치 또는 업데이트를 적용해야 합니다.
• 영향: 다양한 보안 위협에 노출될 가능성. ⚠️
• 해결 방안: Chrome 브라우저 업데이트 및 Grafana 제품 업데이트 병행. ⏫

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6526