CRITICAL✓ PATCH🇬🇧 English

CVE-2024-9264

Grafana: command injection i local file inclusion przez SQL Expressions (duckdb)

CVSS 9.4v4.0pub. 2024-10-18upd. 2025-03-14

Eksperymentalna funkcja SQL Expressions w Grafana umożliwia wykonywanie zapytań duckdb zawierających dane użytkownika, które nie są odpowiednio sanityzowane przed przekazaniem do silnika. Prowadzi to do podatności typu command injection oraz local file inclusion, dostępnych dla każdego użytkownika z uprawnieniami VIEWER lub wyższymi.

Pokaż oryginał (EN)

The SQL Expressions experimental feature of Grafana allows for the evaluation of `duckdb` queries containing user input. These queries are insufficiently sanitized before being passed to `duckdb`, leading to a command injection and local file inclusion vulnerability. Any user with the VIEWER or higher permission is capable of executing this attack. The `duckdb` binary must be present in Grafana's $PATH for this attack to function; by default, this binary is not installed in Grafana distributions.

🤖 Analiza AI
Jak działa

Funkcja SQL Expressions pozwala na ewaluację zapytań duckdb z danymi wejściowymi podanymi przez użytkownika. Ze względu na niewystarczające oczyszczanie (sanityzację) tych danych wejściowych przed przekazaniem ich do procesu duckdb, atakujący może wstrzyknąć złośliwe polecenia systemowe lub odwołania do lokalnych plików. Atak wymaga obecności binarki duckdb w zmiennej środowiskowej $PATH serwera Grafana — domyślnie nie jest ona instalowana w standardowych dystrybucjach Grafana.

Skutki

Atakujący z uprawnieniami VIEWER lub wyższymi może wykonać dowolne polecenia systemowe na serwerze (command injection) oraz odczytać dowolne pliki lokalne (local file inclusion), co może skutkować pełnym przejęciem kontroli nad serwerem i wyciekiem poufnych danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://grafana.com/security/security-advisories/cve-2024-9264/). Jako obejście należy upewnić się, że binarka duckdb NIE jest obecna w $PATH serwera Grafana oraz wyłączyć eksperymentalną funkcję SQL Expressions, jeśli nie jest wymagana.

Kogo dotyczy

Grafana z włączoną eksperymentalną funkcją SQL Expressions oraz binarką duckdb obecną w $PATH — wersje wskazane w referencjach producenta

Uwagi

Atak jest możliwy wyłącznie gdy binarka duckdb jest dostępna w $PATH serwera Grafana — co domyślnie nie ma miejsca w standardowych dystrybucjach. Funkcja SQL Expressions ma status eksperymentalny i musi być świadomie włączona przez administratora.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Grafana

    APP
    Grafana
    11.0.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2021-39226CRITICAL9.8⚠ KEVten sam produkt

Grafana is an open source data visualization platform. In affected versions unauthenticated and authenticated ...

CVE-2026-27876CRITICAL9.1PL ✓ten sam produkt

RCE w Grafana przez SQL Expressions i plugin Enterprise (CVE-2026-27876)

CVE-2025-41115CRITICAL10.0PL ✓ten sam produkt

Grafana Enterprise: privilege escalation przez SCIM provisioning (LPE)

CVE-2023-3128CRITICAL9.4ten sam produkt

Grafana is validating Azure AD accounts based on the email claim. On Azure AD, the profile email field is no...

CVE-2022-39328CRITICAL9.8ten sam produkt

Grafana is an open-source platform for monitoring and observability. Versions starting with 9.2.0 and less tha...