PT-2024-7005 · Duckdb+3 · Duckdb+3
Publicado
2024-04-23
·
Atualizado
2026-03-11
·
CVE-2024-9264
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Grafana anteriores à v11.0.6+security-01
Versões do Grafana anteriores à v11.1.7+security-01
Versões do Grafana anteriores à v11.2.2+security-01
Descrição
O recurso experimental SQL Expressions do Grafana permite a avaliação de consultas
duckdb contendo entradas do usuário. Essas consultas não são suficientemente sanitizadas antes de serem passadas para o duckdb, levando a uma vulnerabilidade de injeção de comando e inclusão de arquivo local. Qualquer usuário com permissão VIEWER ou superior é capaz de executar esse ataque. O binário duckdb deve estar presente no $PATH do Grafana para que esse ataque funcione; por padrão, esse binário não está instalado nas distribuições do Grafana. Mais de 538 mil resultados foram encontrados no ZoomEye, indicando um grande número de dispositivos potencialmente afetados em todo o mundo. A vulnerabilidade está sendo ativamente explorada na natureza.Recomendações
Para versões anteriores à v11.0.6+security-01, atualize para a v11.0.6+security-01 ou posterior.
Para versões anteriores à v11.1.7+security-01, atualize para a v11.1.7+security-01 ou posterior.
Para versões anteriores à v11.2.2+security-01, atualize para a v11.2.2+security-01 ou posterior.
Como solução alternativa temporária, considere desativar o recurso SQL Expressions até que um patch esteja disponível.
Restrinja o acesso ao binário
duckdb para minimizar o risco de exploração.Evite usar o recurso SQL Expressions com entradas de usuários não confiáveis até que o problema seja resolvido.
Exploit
Correção
RCE
Command Injection
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Grafana
Red Os
Suse
Duckdb