Критическая уязвимость Grafana создает угрозу удаленного выполнения кода
habr.comВ Grafana, платформе с открытым исходным кодом для анализа и визуализации данных, обнаружена критическая уязвимость, которая может привести к удаленному выполнению кода.Уязвимость CVE-2024-9264 c оценкой CVSS v4 9,4, была введена в Grafana версии 11, выпущенной в мае 2024 года, сообщила Grafana Labs.
Уязвимость связана с экспериментальной функцией SQL Expressions, которая позволяет выполнять постобработку результатов запросов к источникам данных с помощью SQL-запросов к реляционной системе управления базами данных с открытым исходным кодом DuckDB.Функция SQL Expressions в Grafana не проверяет должным образом эти SQL-запросы к интерфейсу командной строки (CLI) DuckDB, что может привести к инъекции команд и включению локального файла через вредоносный запрос.