Критическая уязвимость Grafana создает угрозу удаленного выполнения кода

В Grafana, платформе с открытым исходным кодом для анализа и визуализации данных, обнаружена критическая уязвимость, которая может привести к удаленному выполнению кода.Уязвимость CVE-2024-9264 c оценкой CVSS v4 9,4, была введена в Grafana версии 11, выпущенной в мае 2024 года, сообщила Grafana Labs.

Уязвимость связана с экспериментальной функцией SQL Expressions, которая позволяет выполнять постобработку результатов запросов к источникам данных с помощью SQL-запросов к реляционной системе управления базами данных с открытым исходным кодом DuckDB.Функция SQL Expressions в Grafana не проверяет должным образом эти SQL-запросы к интерфейсу командной строки (CLI) DuckDB, что может привести к инъекции команд и включению локального файла через вредоносный запрос.

По данным Grafana Labs, эту уязвимость может использовать любой пользователь с правами «viewer» или выше.SQL Expression по умолчанию включен в Grafana API, однако в Grafana Lab отметили, что уязвимость можно использовать только в том случае, если бинарный файл DuckDB установлен и включен в PATH окружения процесса Grafana, а по умолчанию это не так.Платформа разведки с открытым исходным кодом (OSINT) Netlas.io сообщила, что более 100 000 экземпляров Grafana были «вероятно уязвимы для CVE-2024-9264», включая почти 19 000 в Соединенных Штатах.Grafana выпустила шесть новых версий, устраняющих критическую уязвимость, включая три загрузки, содержащие только исправление безопасности, и три, которые устраняют уязвимость, а также обновляют пользователей до последних версий Grafana.Пользователи, желающие установить патч без установки последней версии, могут загрузить версии 11.0.5+security-01 , 11.1.6+security-01 или 11.2.1+security-01 .Пользователи также могут одновременно