کشف آسیب‌پذیری بحرانی در Grafana

کشف آسیب‌پذیری بحرانی در Grafana

تاریخ ایجاد

یک آسیب‌‏پذیری با شناسه CVE-2024-9264 و شدت 9.4 (بحرانی) از نوع تزریق فرمان (command injection) در Grafana  کشف شده ‌است. یک ویژگی آزمایشی که امکان ارزیابی پرس و جوهای (duckdb) را برای مهاجم فراهم می کند. این پرس‌و‌جوها قبل از ارسال به (duckdb) به حد کافی پاکسازی نمی‌شوند که منجر به تزریق دستور و آسیب‌پذیری در فایل محلی می‌شود. هر کاربری با مجوز VIEWER یا بالاتر می تواند این حمله را اجرا کند.


محصولات آسیب‌پذیر و توصیه امنیتی

سیب


منابع خبر:

 

[1]https://grafana.com/security/security-advisories/cve-2024-9264/

[2]https://nvd.nist.gov/vuln/detail/CVE-2024-9264