2024年11月22日,网上更新披露了Grafana DuckDB 表达式注入漏洞(CVE-2024-9264)。
漏洞描述:Grafana存在表达式注入漏洞,该漏洞源于Grafana引入了DuckDb SQL Expression,当DuckDb存在于Grafana的$PATH环境变量中可以调用恶意函数,造成文件读取和任意代码执行等危害。
影响范围:
Grafana OSS版本=11.0.0-11.0.5、11.1.0-11.1.6和11.2.0-11.2.1
Enterprise版本 =11.0.0-11.0.5、11.1.0-11.1.6和11.2.0-11.2.1
风险等级:高危
修复方案:
官方已发布安全更新,建议升级至最新版本。
进行安全更新方法:
https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/
