NewsSecurity

Lebih dari 46.000 Instansi Grafana Rentan Terhadap Bug Perebutan Akun

Photo of Ahmandonk Ahmandonk2 weeks ago
0 0 1 minute read
Lebih dari 46.000 Instansi Grafana Rentan Terhadap Bug Perebutan Akun
Lebih dari 46.000 Instansi Grafana Rentan Terhadap Bug Perebutan Akun

Baru‑baru ini terungkap bahwa lebih dari 46.000 instansi Grafana yang dapat diakses publik masih belum diperbarui dan rentan terhadap kerentanan CVE‑2025‑4123, sebuah bug open redirect pada sisi klien yang memungkinkan penyusup menjalankan plugin berbahaya dan mengambil alih akun pengguna.

⚠️ Bagaimana Cara Eksploitasi Bekerja

  1. Penyusup membuat URL yang memanfaatkan celah open redirect dan path traversal sisi klien .
  2. Pengguna yang sudah masuk dan mengklik link tersebut akan secara otomatis mengunduh dan menjalankan plugin berbahaya.
  3. Plugin ini dapat menjalankan JavaScript untuk mencuri sesi, mengubah kredensial akun, dan — jika plugin Image Renderer terpasang — melakukan SSRF untuk mengakses sumber internal.

Bug ini bekerja meski pengguna bukan editor dan tidak memerlukan hak istimewa, selama plugin unsigned diizinkan .

📊 Skala dan Dampak

  • Sekitar 128.864 instansi Grafana terekspos secara publik, dan 46.506 (36 %) masih berjalan pada versi rentan.
  • Vektor serangan ini memungkinkan session hijacking, takeover akun, dan potensi akses data internal melalui SSRF.

🛠 Cara Mitigasi yang Disarankan

Grafana Labs telah merilis patch tinggi prioritas pada 21 Mei 2025 untuk versi berikut:

  • 10.4.18+security‑01
  • 11.2.9+security‑01 melalui 11.6.1+security‑01
  • 12.0.0+security‑01

Cara Perlindungan Tambahan:

  • Nonaktifkan akses anonymous dan penggunaan plugin unsigned.
  • Terapkan CSP (Content Security Policy) ketat seperti contoh di blog resmi.
  • Untuk instansi yang terpasang plugin Image Renderer, pertimbangkan untuk menonaktifkannya jika tak diperlukan.

✅ Rangkuman Singkat

  • Masalah: Open redirect + path traversal mengeksekusi plugin jahat => pengambilalihan akun + SSRF.
  • Skala: 46.506 instansi rentan dari ~129k instansi publik.
  • Solusi: Update instansi Grafana segera ke versi terbaru dengan patch.
  • Mitigasi tambahan: Nonaktifkan akses anonim, plugin diganakan, dan aktifkan CSP.

Sumber:

Photo of Ahmandonk Ahmandonk2 weeks ago
0 0 1 minute read
Photo of Ahmandonk

Ahmandonk

Ahman, dikenal sebagai Ahmandonk, adalah content creator asal Indonesia yang gemar berbagi seputar teknologi, perjalanan, kuliner, dan aviasi. Lewat blog Ahmandonk.com dan kanal YouTube AhmandonkVLOG, ia membagikan review gadget, unboxing, vlog perjalanan, dan pengalaman kuliner, dengan gaya yang santai dan informatif.

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button