立即打补丁!Grafana 遭 9.9 严重 RCE 漏洞攻击 (CVE-2024-9264)

阅读量47244

发布时间 : 2024-10-22 09:41:38

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/patch-now-grafana-hit-by-9-9-severity-rce-vulnerability-cve-2024-9264/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-9264

流行的监控和可观察性开源平台 Grafana 发现了一个严重的安全漏洞 (CVE-2024-9264)。该漏洞的 CVSS v3.1 得分为 9.9,攻击者可利用该漏洞在受影响的系统上执行任意代码,可能导致系统完全崩溃。

该漏洞源于一个名为 “SQL 表达式 ”的实验性功能,它允许用户使用 SQL 对数据源查询进行后处理。根据 Grafana 实验室发布的安全公告,“这些 SQL 查询没有经过完全消毒,导致命令注入和本地文件包含漏洞”。

这意味着,恶意行为者可以精心设计查询,摆脱预定的 SQL 上下文,执行系统命令或访问服务器上的敏感文件。令人担忧的是,该公告指出:”任何拥有查看器权限或更高权限的 Grafana 用户都能够执行这种攻击。

Grafana 实验室在其公告中解释说:”由于功能标志的实现不正确,API 默认启用了这一实验性功能。这一默认设置,再加上系统 PATH 中 DuckDB 二进制文件的可用性,使得环境很容易受到攻击。重要的是,DuckDB 二进制文件默认不与 Grafana 打包在一起,这意味着只有安装了 DuckDB 并可通过 PATH 访问的实例才有可能被利用。

Grafana 实验室已迅速采取行动解决 CVE-2024-9264 问题,为所有受影响的 Grafana 11 版本发布了修补版本。强烈建议用户立即升级到已打补丁的版本:

  • 11.0.5+security-01 (仅安全修复)
  • 11.1.6+security-01 (仅安全修复)
  • 11.2.1+security-01 (仅安全修复)
  • 11.0.6+security-01 (包含最新功能和安全修复)
  • 11.1.7+security-01 (包含最新功能和安全修复)
  • 11.2.2+security-01 (包括最新功能和安全修复)

“公告强调:”如果您的实例存在漏洞,我们强烈建议您尽快升级到已打补丁的 Grafana 版本之一。

作为临时缓解措施,Grafana 实验室建议从系统的 PATH 中移除 DuckDB 二进制文件或完全卸载它。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66