Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
Se ha identificado una vulnerabilidad crítica CVE-2024-9264 con una criticidad de 9.9 en la plataforma de visualización de datos Grafana, específicamente en la función experimental de SQL Expressions. Esta vulnerabilidad permite la inyección de comandos y la inclusión de archivos locales (LFI) debido a la falta de validación adecuada de las consultas SQL. Cualquier usuario con permisos de VIEWER o superiores podría ejecutar este ataque si el binario duckdb está presente en el sistema.
La vulnerabilidad afecta a las versiones de Grafana 11.x y superiores. Aunque la función SQL Expressions está habilitada de manera predeterminada, la explotación solo es posible si el binario duckdb está disponible en el $PATH de Grafana, lo cual no es el comportamiento predeterminado de la plataforma.
Recursos afectados
Grafana OSS y Enterprise:
- Versiones 11.0.0 a 11.0.5
- Versiones 11.1.0 a 11.1.6
- Versiones 11.2.0 a 11.2.1
Solución/Mitigación
Grafana Labs ha lanzado parches para corregir la vulnerabilidad en las siguientes versiones:
- Solo parche de seguridad:
- 11.0.5+security-01
- 11.1.6+security-01
- 11.2.1+security-01
- Actualización completa:
- 11.0.6+security-01
- 11.1.7+security-01
- 11.2.2+security-01
Los usuarios que no puedan aplicar los parches de inmediato deben eliminar el binario duckdb de la ruta del sistema $PATH para evitar la explotación de la vulnerabilidad, ya que ninguna otra función de Grafana requiere este binario.
Recomendaciones
- Actualización inmediata se recomienda encarecidamente actualizar a las versiones parcheadas para evitar la explotación de esta vulnerabilidad crítica.
- Eliminación del binario
duckdbsi no es posible actualizar de inmediato, asegúrese de que el binarioduckdbno esté presente en el sistema. - Monitoreo continuo revisae regularmente los registros de actividad y las configuraciones de seguridad en su instancia de Grafana para detectar comportamientos anómalos.