Plataforma
grafana
Componente
grafana-image-renderer
Corregido en
4.0.17
Grafana Image Renderer es vulnerable a una ejecución remota de código (RCE) debido a una falla en la validación del parámetro filePath en el endpoint /render/csv. Esta vulnerabilidad permite a un atacante guardar un objeto compartido en una ubicación arbitraria, que luego es cargado por el proceso de Chromium. La vulnerabilidad afecta a las versiones de Grafana Image Renderer desde 1.0.0 hasta 4.0.16, y se corrige en la versión 4.0.17.
Un atacante que explote esta vulnerabilidad puede lograr la ejecución remota de código en el servidor donde se ejecuta Grafana Image Renderer. Esto se logra mediante la escritura de un archivo objeto compartido en una ubicación controlada por el atacante, que luego es cargado por el proceso de Chromium. El impacto potencial es significativo, ya que un atacante podría obtener acceso completo al sistema, robar datos confidenciales o incluso utilizar el servidor como punto de apoyo para ataques posteriores. La falta de validación del parámetro filePath es la raíz del problema, permitiendo la manipulación de la ruta del archivo a ser escrito.
Esta vulnerabilidad ha sido publicada el 9 de octubre de 2025. No se ha confirmado la explotación activa en entornos reales, pero la alta puntuación CVSS (9.9) indica un riesgo significativo. La vulnerabilidad se basa en una falla de validación de entrada, un patrón común en vulnerabilidades de RCE. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier indicio de explotación.
Organizations using Grafana Image Renderer in production environments, particularly those that have not changed the default authentication token or have exposed the Image Renderer endpoint to untrusted networks, are at significant risk. Shared hosting environments where multiple users share the same Grafana instance are also particularly vulnerable.
• linux / server:
find / -name '*.so' -type f -mtime -7 -ls• generic web:
curl -I <grafana_image_renderer_url>/render/csv• grafana: Review Grafana Image Renderer logs for unusual file write attempts, particularly to directories outside of the expected data storage location.
disclosure
Estado del Exploit
EPSS
0.30% (53% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Grafana Image Renderer a la versión 4.0.17 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda cambiar el token de autenticación predeterminado (authToken) por uno más seguro y único. Además, restringir el acceso al endpoint /render/csv a través de reglas de firewall o WAF puede ayudar a reducir la superficie de ataque. Monitorear los logs del sistema en busca de intentos de escritura de archivos sospechosos también es una medida preventiva importante.
Actualice el plugin Grafana Image Renderer a la versión 4.0.17 o superior. Si no puede actualizar inmediatamente, cambie el token de autenticación predeterminado ("authToken") y asegúrese de que el endpoint del renderizador de imágenes no sea accesible para atacantes.Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-11539 is a critical remote code execution vulnerability in Grafana Image Renderer versions 1.0.0–4.0.16, allowing attackers to execute arbitrary code through file write manipulation.
You are affected if you are running Grafana Image Renderer versions 1.0.0 through 4.0.16 and have not changed the default authentication token or restricted access to the /render/csv endpoint.
Upgrade Grafana Image Renderer to version 4.0.17 or later. As a temporary workaround, restrict access to the /render/csv endpoint and change the default authentication token.
While no public exploits are currently known, the vulnerability's severity and ease of exploitation suggest it is likely to be targeted. Monitor security advisories for updates.
Refer to the official Grafana security advisory for CVE-2025-11539 on the Grafana website (https://grafana.com/security/advisories).
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.