关于Grafana SQL表达式允许远程代码执行(CVE-2024-9264)的风险提示

2024-10-2231

一、背景介绍

近日,市委网信办技术支撑单位监测到Grafana严重安全漏洞(CVE-2024-9264)。该漏洞允许攻击者在受影响的系统上执行任意代码,该漏洞PoC已公开,建议受影响单位尽快升级到安全版本。

1.1漏洞描述

CVE-2024-9264是Grafana实验性SQL表达式功能中的一个DuckDB SQL注入漏洞。这些查询在传递给之前未经过充分清理duckdb,导致命令注入和本地文件包含漏洞。

1.2漏洞编号

CVE-2024-9264

1.3漏洞等级

高危


二、修复建议

2.1受影响的版本

Grafana OSS和Enterprise版本11.0.0-11.0.5、11.1.0-11.1.6 和11.2.0-11.2.1

2.2修复建议

官方已经发布了解决此漏洞的软件更新,建议受影响用户尽快升级到安全版本。

https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/