Grafana łata poważną podatność umożliwiającą RCE i LFI

Autorzy narzędzia Grafana opublikowali na blogu artykuł dotyczący błędu oznaczonego symbolem CVE-2024-9264 oraz zaktualizowane wersje. Błąd został odkryty przez inżyniera Grafana Labs i dotyczy Grafany serii 11.x (wersje z serii 10.x nie są podatne). Podatność dotyczy jedynie instalacji, które zawierają – nieobecny domyślnie – plik wykonywalny DuckDB w zmiennej środowiskowej PATH Grafany.

TLDR:

• CVE-2024-2964 czyli RCE + LFI w Grafanie serii 11.x
• dostępne są zaktualizowane wersje oraz rozwiązanie tymczasowe
• błąd nie jest możliwy do wykorzystania w domyślnych instalacjach
• istnieją publiczne PoC wykorzystania błędu

Podatność – o poziomie krytyczności 9,9 – może zostać wykorzystana przez dowolnego użytkownika o uprawnieniach Viewer lub wyższych i pozwala na wstrzyknięcie poleceń (ang.: command injection), umieszczenie plików na serwerze (ang.: local file inclusion) lub odczyt plików z serwera.

Podatność została wprowadzona poprzez dodanie eksperymentalnej funkcji o nazwie SQL Expressions w Grafanie serii 11.x.

Dla systemów, których aktualizacja nie jest możliwa, zalecane jest usunięcie pliku wykonywalnego duckdb ze zmiennej środowiskowej PATH lub całkowite usunięcie go z serwera.

Jeśli korzystacie z Grafany, zachęcamy do jak najszybszego sprawdzenia instalacji i aktualizacji lub wdrożenia powyższego rozwiązania zastępczego, ponieważ istnieją publiczne PoC wykorzystania tej podatności.

~Paweł Różański