securityHIGH: 교차 호스트 리다이렉트 시 자격 증명 전달 중단
리다이렉트 대상 호스트가 다를 때 Authorization 헤더, Basic 인증, Bearer 토큰, OAuth2, 사용자 정의 헤더 등의 자격 증명이 더 이상 전달되지 않습니다. 스크레이핑, 원격 read/write, 알림, 서비스 디스커버리 전반에 걸쳐 영향을 줍니다. CVE-2025-4673·CVE-2023-45289로 추적되며, prometheus/common을 v0.68.x에서 v0.69.0으로 올리면서 적용됐습니다. 교차 호스트 리다이렉트에 의존하는 엔드포인트가 있다면 자격 증명이 조용히 누락되는지 확인하세요.
securityMEDIUM: UI 의존성 XSS 수정 (CVE-2026-44990)
UI에서 사용하는 sanitize-html에 XSS 취약점(CVE-2026-44990)이 존재했으며 버전 업데이트로 수정됐습니다. 별도 설정 변경 없이 v3.13.0으로 업그레이드하면 됩니다.
breaking페이지네이션 토큰 알고리즘이 SHA-1에서 SHA-256으로 변경
룰 그룹 페이지네이션 토큰 생성 방식이 SHA-1에서 SHA-256으로 바뀌었습니다. 이전 버전에서 얻은 토큰을 저장하거나 비교하는 클라이언트나 도구는 업그레이드 후 값이 달라집니다.
breaking--http.config.file 상대 경로 기준 디렉터리 변경
--http.config.file로 전달한 파일 내의 상대 경로가 부모 디렉터리가 아닌 해당 설정 파일의 디렉터리를 기준으로 해석됩니다. 상대 경로를 쓰고 있다면 업그레이드 후 경로가 올바르게 해석되는지 확인하세요.
breaking기간 표현 함수 min()/max()가 min_of()/max_of()로 이름 변경
experimental-duration-expr 피처 플래그를 켠 상태라면, PromQL 기간 표현 함수 min()과 max()가 min_of()와 max_of()로 이름이 바뀌었습니다. 해당 함수를 쓰는 쿼리와 룰을 수정하세요.
breakingnpm_licenses.tar.bz2 제거, 라이선스는 /assets/third-party-licenses.txt로 이동
릴리스 tarball과 컨테이너 이미지에서 npm_licenses.tar.bz2가 제거됐습니다. 서드파티 npm 라이선스 정보는 바이너리에 내장돼 /assets/third-party-licenses.txt로 제공됩니다. 해당 아카이브를 추출하는 자동화가 있다면 수정이 필요합니다.