CVE-2025-11539 – Arbitrary Code Execution in Grafana Image Renderer Plugin

CVE ID : CVE-2025-11539

Published : Oct. 9, 2025, 8:15 a.m. | 22 minutes ago

Description : Grafana Image Renderer is vulnerable to remote code execution due to an arbitrary file write vulnerability. This is due to the fact that the /render/csv endpoint lacked validation of the filePath parameter that allowed an attacker to save a shared object to an arbitrary location that is then loaded by the Chromium process.

Instances are vulnerable if:

1. The default token (“authToken”) is not changed, or is known to the attacker.
2. The attacker can reach the image renderer endpoint.
This issue affects grafana-image-renderer: from 1.0.0 through 4.0.16.

Severity: 9.9 | CRITICAL

Visit the link for more details, such as CVSS details, affected products, timeline, and more… 

آسیب‌پذیری‌های جدید و وصله‌های امنیتی به‌صورت مداوم منتشر می‌شوند و عدم بروزرسانی به‌موقع می‌تواند امنیت سرویس‌های حیاتی را به خطر بیندازد. خدمات مدیریت و پشتیبانی سرور آفاق هاستینگ شامل پایش امنیتی، بروزرسانی نرم‌افزارها، نصب Patchهای امنیتی و سخت‌سازی سرورها است.

خدمات مدیریت و امنیت سرور

نوشته های مشابه

CVE-2026-2053 – Unauthenticated Server-Side Request Forgery via WS-Addressing in WSO2 API Manager

CVE-2026-57874 – GV-LPC2011/LPC2211 – unauthorized buffer overflow vulnerability (IEEE8021x_upload.cgi)

CVE-2026-57873 – GV-LPC2011/LPC2211 – unauthorized null pointer dereference vulnerability (IEEE8021x_upload.cgi)

CVE-2026-57872 – GV-LPC2011/LPC2211 – unauthorized directory traversal vulnerability (get_fcont.cgi)