ГлавнаяБаза уязвимостей БДУ → BDU:2024-08254
9критическая

BDU:2024-08254 (CVE-2024-9264)

Уязвимость функции Expressions платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-10-21
Описание

Уязвимость функции Expressions платформы для мониторинга и наблюдения Grafana связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путём внедрения специально сформированных SQL-запросов

Затрагиваемое ПО и версии
РЕД ОС (7.3)Grafana (до 11.0.5+security-01)Grafana (до 11.1.6+security-01)Grafana (до 11.2.1+security-01)Grafana (до 11.0.6+security-01)Grafana (до 11.1.7+security-01)Grafana (до 11.2.2+security-01)
Способ устранения

Использование рекомендаций:
Для Grafana:
https://grafana.com/security/security-advisories/cve-2024-9264/
https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Компенсирующие меры:
- удаление пути к исполняемому файлу duckdb из переменного окружения PATH;
- удаление исполняемого файла duckdb;
- ограничение доступа к платформе из внешних сетей (Интернет);
- отключение/удаление неиспользуемых учётных записей пользователей платформы;
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к платформе.

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://grafana.com/security/security-advisories/cve-2024-9264/https://grafana.com/blog/2024/10/17/grafana-security-release-critical-severity-fix-for-cve-2024-9264/https://github.com/nollium/CVE-2024-9264https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-grafana-cve-2024-8118-cve-2024-9476-cve-2024-9264/?sphrase_id=602276
Проверьте безопасность своего сайта и почты → Полная проверка домена