Eksperymentalna funkcja SQL Expressions w Grafana umożliwia wykonywanie zapytań duckdb zawierających dane użytkownika, które nie są odpowiednio sanityzowane przed przekazaniem do silnika. Prowadzi to do podatności typu command injection oraz local file inclusion, dostępnych dla każdego użytkownika z uprawnieniami VIEWER lub wyższymi.
▸ Pokaż oryginał (EN)
The SQL Expressions experimental feature of Grafana allows for the evaluation of `duckdb` queries containing user input. These queries are insufficiently sanitized before being passed to `duckdb`, leading to a command injection and local file inclusion vulnerability. Any user with the VIEWER or higher permission is capable of executing this attack. The `duckdb` binary must be present in Grafana's $PATH for this attack to function; by default, this binary is not installed in Grafana distributions.
Funkcja SQL Expressions pozwala na ewaluację zapytań duckdb z danymi wejściowymi podanymi przez użytkownika. Ze względu na niewystarczające oczyszczanie (sanityzację) tych danych wejściowych przed przekazaniem ich do procesu duckdb, atakujący może wstrzyknąć złośliwe polecenia systemowe lub odwołania do lokalnych plików. Atak wymaga obecności binarki duckdb w zmiennej środowiskowej $PATH serwera Grafana — domyślnie nie jest ona instalowana w standardowych dystrybucjach Grafana.
Atakujący z uprawnieniami VIEWER lub wyższymi może wykonać dowolne polecenia systemowe na serwerze (command injection) oraz odczytać dowolne pliki lokalne (local file inclusion), co może skutkować pełnym przejęciem kontroli nad serwerem i wyciekiem poufnych danych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://grafana.com/security/security-advisories/cve-2024-9264/). Jako obejście należy upewnić się, że binarka duckdb NIE jest obecna w $PATH serwera Grafana oraz wyłączyć eksperymentalną funkcję SQL Expressions, jeśli nie jest wymagana.
Grafana z włączoną eksperymentalną funkcją SQL Expressions oraz binarką duckdb obecną w $PATH — wersje wskazane w referencjach producenta
Atak jest możliwy wyłącznie gdy binarka duckdb jest dostępna w $PATH serwera Grafana — co domyślnie nie ma miejsca w standardowych dystrybucjach. Funkcja SQL Expressions ma status eksperymentalny i musi być świadomie włączona przez administratora.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XGrafana
APPGrafana11.0.0
Powiązane podatności
Grafana is an open source data visualization platform. In affected versions unauthenticated and authenticated ...
RCE w Grafana przez SQL Expressions i plugin Enterprise (CVE-2026-27876)
Grafana Enterprise: privilege escalation przez SCIM provisioning (LPE)
Grafana is validating Azure AD accounts based on the email claim. On Azure AD, the profile email field is no...
Grafana is an open-source platform for monitoring and observability. Versions starting with 9.2.0 and less tha...