一、背景介绍
近日,市委网信办技术支撑单位监测到Grafana严重安全漏洞(CVE-2024-9264)。该漏洞允许攻击者在受影响的系统上执行任意代码,该漏洞PoC已公开,建议受影响单位尽快升级到安全版本。
1.1漏洞描述
CVE-2024-9264是Grafana实验性SQL表达式功能中的一个DuckDB SQL注入漏洞。这些查询在传递给之前未经过充分清理duckdb,导致命令注入和本地文件包含漏洞。
1.2漏洞编号
CVE-2024-9264
1.3漏洞等级
高危
二、修复建议
2.1受影响的版本
Grafana OSS和Enterprise版本11.0.0-11.0.5、11.1.0-11.1.6 和11.2.0-11.2.1
2.2修复建议
官方已经发布了解决此漏洞的软件更新,建议受影响用户尽快升级到安全版本。
https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/