یک آسیبپذیری با شناسه CVE-2024-9264 و شدت 9.4 (بحرانی) از نوع تزریق فرمان (command injection) در Grafana کشف شده است. یک ویژگی آزمایشی که امکان ارزیابی پرس و جوهای (duckdb) را برای مهاجم فراهم می کند. این پرسوجوها قبل از ارسال به (duckdb) به حد کافی پاکسازی نمیشوند که منجر به تزریق دستور و آسیبپذیری در فایل محلی میشود. هر کاربری با مجوز VIEWER یا بالاتر می تواند این حمله را اجرا کند.
محصولات آسیبپذیر و توصیه امنیتی
منابع خبر:
[1]https://grafana.com/security/security-advisories/cve-2024-9264/
- 95