Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Grafana łata poważną podatność umożliwiającą RCE i LFI
Autorzy narzędzia Grafana opublikowali na blogu artykuł dotyczący błędu oznaczonego symbolem CVE-2024-9264 oraz zaktualizowane wersje. Błąd został odkryty przez inżyniera Grafana Labs i dotyczy Grafany serii 11.x (wersje z serii 10.x nie są podatne). Podatność dotyczy jedynie instalacji, które zawierają – nieobecny domyślnie – plik wykonywalny DuckDB w zmiennej środowiskowej PATH
Grafany.
TLDR:
- CVE-2024-2964 czyli RCE + LFI w Grafanie serii 11.x
- dostępne są zaktualizowane wersje oraz rozwiązanie tymczasowe
- błąd nie jest możliwy do wykorzystania w domyślnych instalacjach
- istnieją publiczne PoC wykorzystania błędu
Podatność – o poziomie krytyczności 9,9 – może zostać wykorzystana przez dowolnego użytkownika o uprawnieniach Viewer lub wyższych i pozwala na wstrzyknięcie poleceń (ang.: command injection), umieszczenie plików na serwerze (ang.: local file inclusion) lub odczyt plików z serwera.
Podatność została wprowadzona poprzez dodanie eksperymentalnej funkcji o nazwie SQL Expressions w Grafanie serii 11.x.
Dla systemów, których aktualizacja nie jest możliwa, zalecane jest usunięcie pliku wykonywalnego duckdb ze zmiennej środowiskowej PATH lub całkowite usunięcie go z serwera.
Jeśli korzystacie z Grafany, zachęcamy do jak najszybszego sprawdzenia instalacji i aktualizacji lub wdrożenia powyższego rozwiązania zastępczego, ponieważ istnieją publiczne PoC wykorzystania tej podatności.
~Paweł Różański