أطلقت شركة «Grafana» تحديثات أمنية لإصلاح أربع ثغرات عالية الخطورة في مكتبة «Chromium»، التي تعتمد عليها كل من إضافة «Grafana Image Renderer» ووكيل «Synthetic Monitoring». وتُعد الثغرة الأبرز من بينها هي «CVE-2025-6554»، والتي وُصفت بأنها من نوع «ارتباك النوع» (Type Confusion) داخل محرك «V8» الخاص بـ«Chrome»، وقد استُغلت فعلياً كـ«ثغرة Zero-Day» في هجمات حقيقية.
وأكدت شركة «Google» أن لديها معرفة باستغلال هذه الثغرة، مشيرة إلى أنها قامت بإصدار تحديثات لنسخ «Chrome» على أنظمة «ويندوز» (الإصداران 138.0.7204.96 و138.0.7204.97)، و«macOS» (الإصداران 138.0.7204.92 و138.0.7204.93)، و«لينكس» (الإصدار 138.0.7204.96).
تفاصيل الثغرات الأمنية في مكونات Chrome
شملت التحديثات أيضاً ثغرة «CVE-2025-5959»، وهي من النوع ذاته (Type Confusion) في محرك «V8»، والتي تتيح للمهاجم تنفيذ شيفرة برمجية ضارة عن بُعد ضمن بيئة الحماية باستخدام صفحات HTML مصمّمة خصيصاً. وتمّت معالجة هذه الثغرة في الإصدارات 137.0.7151.103 و137.0.7151.104 لنظامي «ويندوز» و«macOS»، وكذلك الإصدار 137.0.7151.103 لنظام «لينكس».
وفي السياق نفسه، شملت الإصلاحات ثغرتين إضافيتين: «CVE-2025-6191»، وهي من نوع تجاوز سعة عددية (Integer Overflow)، و«CVE-2025-6192»، وهي من نوع استخدام بعد التحرير (Use-After-Free) داخل وحدة «Profiler» في المتصفح. ووفقاً لـ«Google»، يمكن لهذه الثغرات تمكين المهاجم من الوصول خارج حدود الذاكرة أو التسبب في تلف هيكل الذاكرة المؤقتة (Heap Corruption).
توصيات بالتحديث الفوري للمستخدمين
أوصت «Grafana» المستخدمين الذين يشغّلون إضافة «Image Renderer» أو يستخدمون وكيل «Synthetic Monitoring» بضرورة تحديث أنظمتهم إلى النسخ الآمنة، وهي الإصدار 3.12.9 أو أحدث للإضافة، والإصدار 0.38.3 أو أحدث للوكيل. وأضافت أن منصات السحابة قد تم تحديثها تلقائياً.
وشددت الشركة على ضرورة اتخاذ الإجراء العاجل لتفادي أي احتمالية لاستغلال هذه الثغرات من قِبل المهاجمين، خصوصاً في البيئات المؤسسية أو الحساسة.
