Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Grafana łata poważną podatność umożliwiającą RCE i LFI

20 października 2024, 21:46 | W biegu | 0 komentarzy

Autorzy narzędzia Grafana opublikowali na blogu artykuł dotyczący błędu oznaczonego symbolem CVE-2024-9264 oraz zaktualizowane wersje. Błąd został odkryty przez inżyniera Grafana Labs i dotyczy Grafany serii 11.x (wersje z serii 10.x nie są podatne). Podatność dotyczy jedynie instalacji, które zawierają – nieobecny domyślnie – plik wykonywalny DuckDB w zmiennej środowiskowej PATH Grafany.

TLDR:

  • CVE-2024-2964 czyli RCE + LFI w Grafanie serii 11.x
  • dostępne są zaktualizowane wersje oraz rozwiązanie tymczasowe
  • błąd nie jest możliwy do wykorzystania w domyślnych instalacjach
  • istnieją publiczne PoC wykorzystania błędu

Podatność – o poziomie krytyczności 9,9 – może zostać wykorzystana przez dowolnego użytkownika o uprawnieniach Viewer lub wyższych i pozwala na wstrzyknięcie poleceń (ang.: command injection), umieszczenie plików na serwerze (ang.: local file inclusion) lub odczyt plików z serwera.

Podatność została wprowadzona poprzez dodanie eksperymentalnej funkcji o nazwie SQL Expressions w Grafanie serii 11.x.

Dla systemów, których aktualizacja nie jest możliwa, zalecane jest usunięcie pliku wykonywalnego duckdb ze zmiennej środowiskowej PATH lub całkowite usunięcie go z serwera.

Jeśli korzystacie z Grafany, zachęcamy do jak najszybszego sprawdzenia instalacji i aktualizacji lub wdrożenia powyższego rozwiązania zastępczego, ponieważ istnieją publiczne PoC wykorzystania tej podatności.

~Paweł Różański

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz