Grafana Labs baru saja merilis pembaruan keamanan kritis untuk plugin Image Renderer, menanggapi celah serius yang dapat dieksploitasi untuk menjalankan perintah berbahaya di server. Pengguna disarankan segera melakukan pembaruan ke versi terbaru untuk menghindari potensi serangan.
Ringkasan Singkat
Celah keamanan ini teridentifikasi sebagai CVE-2024-3914, dengan tingkat keparahan 9.8 (Critical) menurut skor CVSS. Kerentanan memungkinkan penyerang menjalankan perintah sistem arbitrer jika plugin berjalan dalam mode daemon, yang merupakan konfigurasi umum pada banyak instalasi server Grafana.
Fitur Utama / Spesifikasi Teknis
- Produk terdampak: Grafana Image Renderer Plugin
- CVE ID: CVE-2024-3914
- Tingkat keparahan: 9.8 (Critical)
- Versi terdampak:
- v3.6.0 hingga v3.7.1
- Syarat eksploitasi:
- Plugin berjalan dalam mode daemon
- Eksploitasi dapat dilakukan secara remote
- Dampak:
- Eksekusi perintah jarak jauh (RCE)
- Potensi pengambilalihan server
- Versi aman: v3.7.2 atau lebih baru
Keunggulan atau Pembaruan
Grafana telah merilis versi v3.7.2 dari plugin Image Renderer yang sepenuhnya menambal celah ini. Selain itu, tim keamanan Grafana juga:
- Menyediakan panduan mitigasi sementara bagi pengguna yang belum bisa update
- Menyarankan untuk tidak menjalankan plugin dalam mode daemon jika tidak diperlukan
- Menambahkan hardening pada versi terbaru untuk mencegah eksploitasi serupa ke depan
Pembaruan ini sangat penting bagi pengguna Grafana yang menggunakan fitur rendering dashboard menjadi gambar untuk keperluan laporan otomatis atau integrasi sistem.
Target Pengguna
Informasi ini sangat relevan untuk:
- Admin sistem dan DevOps yang mengelola server Grafana
- Tim keamanan TI di perusahaan yang menggunakan observability stack
- Developer dan engineer yang mengotomatisasi dashboard visualisasi
- Pengguna yang menjalankan Grafana di cloud, container, atau lingkungan produksi internal
Harga dan Ketersediaan
Plugin ini tersedia secara gratis di Grafana Plugin Marketplace. Pembaruan v3.7.2 dapat langsung diunduh melalui dashboard Grafana atau melalui CLI plugin manager. Tidak ada biaya untuk update, tetapi penundaan pembaruan sangat tidak disarankan karena risiko tinggi.