В Grafana, платформе с открытым исходным кодом для анализа и визуализации данных, обнаружена критическая уязвимость, которая может привести к удаленному выполнению кода.
Уязвимость CVE-2024-9264 c оценкой CVSS v4 9,4, была введена в Grafana версии 11, выпущенной в мае 2024 года, сообщила Grafana Labs. Уязвимость связана с экспериментальной функцией SQL Expressions, которая позволяет выполнять постобработку результатов запросов к источникам данных с помощью SQL-запросов к реляционной системе управления базами данных с открытым исходным кодом DuckDB.
Функция SQL Expressions в Grafana не проверяет должным образом эти SQL-запросы к интерфейсу командной строки (CLI) DuckDB, что может привести к инъекции команд и включению локального файла через вредоносный запрос. По данным Grafana Labs, эту уязвимость может использовать любой пользователь с правами «viewer» или выше.
SQL Expression по умолчанию включен в Grafana API, однако в Grafana Lab отметили, что уязвимость можно использовать только в том случае, если бинарный файл DuckDB установлен и включен в PATH окружения процесса Grafana, а по умолчанию это не так.
Платформа разведки с открытым исходным кодом (OSINT) Netlas.io сообщила, что более 100 000 экземпляров Grafana были «вероятно уязвимы для CVE-2024-9264», включая почти 19 000 в Соединенных Штатах.
Как исправить Grafana CVE-2024-9264
Grafana выпустила шесть новых версий, устраняющих критическую уязвимость, включая три загрузки, содержащие только исправление безопасности, и три, которые устраняют уязвимость, а также обновляют пользователей до последних версий Grafana.
Пользователи, желающие установить патч без установки последней версии, могут загрузить версии 11.0.5+security-01 , 11.1.6+security-01 или 11.2.1+security-01 .
Пользователи также могут одновременно устанавливать исправления и обновления до самых последних версий, установив выпуск 11.0.6+security-01 , 11.1.7+security-01 или 11.2.2+security-01 .
Хотя Grafana Labs настоятельно рекомендовала загрузить исправление безопасности «как можно скорее», пользователи также могут смягчить уязвимость, удалив двоичный файл DuckDB из своей системы или из PATH, где он доступен для Grafana. SQL Expression были единственной функцией Grafana, которая использовала DuckDB, заявила компания.
Уязвимость была впервые обнаружена сотрудниками Grafana 26 сентября 2024 года, и на следующий день Grafana начала развертывать исправление безопасности по всем каналам для Grafana Cloud, согласно графику, опубликованному Grafana Labs.
К 1 октября исправление было завершено для всех экземпляров Grafana Cloud, а 3 октября начался закрытый выпуск исправления для Grafana Open-Source Software (OSS) и Grafana Enterprise. Патч полностью удаляет функциональность SQL Expressions.
Источник: habr.com