10月17日圖像化資料分析系統Grafana發布資安公告,指出旗下11.0.x、11.1.x、11.2.x存在重大層級的漏洞CVE-2024-9264,此為SQL表達式(SQL Expressions)造成的命令注入及本機檔案包含(Local File Inclusion,LFI)弱點,CVSS風險評分達到9.9(滿分10分),開發團隊發布相關修補程式,並呼籲用戶儘速套用。

針對弱點帶來的影響,Grafana指出,攻擊者有機會存取伺服器存放的任何檔案,甚至包括檔案裡尚未經加密處理的密碼,而且,只要拿下具有檢視權限的使用者帳號,攻擊者就可以利用這項漏洞。

這項漏洞是Grafana工程師發現,坐落在名為SQL Expressions的實驗性功能,而該功能允許藉由多項SQL查詢,並將結果輸出,交由DuckDB命令列(CLI)進行後續處理。然而這些SQL查詢並未完全清理,從而導致可被用於命令注入及本機檔案包含弱點。

開發團隊指出,Grafana可能曝險的原因,在於功能切換(feature flags)實作不當,導致該實驗性功能預設可透過API存取。

不過,攻擊者若要利用漏洞,還必須滿足一些先決條件,那就是DuckDB必須設置在Grafana的PATH環境參數存取。但是DuckDB並非Grafana的預設元件,若是IT人員沒有安裝DuckDB,此系統也不會曝露於該漏洞帶來的資安風險。

若是用戶暫時無法套用新版程式,他們呼籲可從PATH參數刪除DuckDB,或是直接從Grafana移除因應。開發團隊強調,Grafana的功能與DuckDB之間無相依性,因此,移除後不會影響Grafana其他功能運作。

熱門新聞

Advertisement