Grafana 漏洞概述与修补指南

关键要点

Grafana 发现了一个严重漏洞，可能导致远程代码执行。漏洞编号为 CVE20249264，CVSS v4 分数为 94，源于 2024 年 5 月发布的 Grafana 版本 11。漏洞来自一个名为 SQL Expressions 的实验性功能，允许通过 SQL 查询进行数据处理。任何拥有“查看者”权限及以上的用户均可利用该漏洞。六个新版本已发布以解决此漏洞，用户可以选择下载特定版本或更新至最新版本。

Grafana，这一开源数据分析与可视化平台，近期被发现存在一个可能导致远程代码执行的严重漏洞。此漏洞被追踪为 CVE20249264，其 CVSS v4 分数高达 94，漏洞源自 2024 年 5 月发布的 Grafana 版本 11。Grafana Labs在周四披露，而该漏洞可通过一个名为 SQL Expressions 的实验性功能导致，该功能允许通过 SQL 查询对 DuckDB 开源关系数据库管理系统中的数据源查询输出进行后处理。

Grafana 的 SQL Expressions 特性未能对这些 SQL 查询进行适当的过滤，这可能导致通过恶意查询进行命令注入和本地文件包含的攻击。根据 Grafana Labs 的说法，任何拥有“查看者”权限或更高权限的用户都有可能利用此漏洞。

漏洞相关信息

漏洞编号CVSS v4 分数受影响版本发布日期CVE2024926494Grafana 112024年5月

SQL Expressions 在 Grafana API 中默认启用，但 Grafana Labs 指出，只有在 DuckDB 二进制文件已安装并包含在 Grafana 进程的环境 PATH 中时，才可能利用该漏洞，这并不是默认设置。

SC Media 联系了 Grafana，询问有多少用户可能正在使用易受攻击的版本，但未获得回应。开源情报平台 Netlasio 报告称，截至周五，超过 100000 个 Grafana 实例“可能易受 CVE20249264 漏洞的影响”，其中近 19000 个位于美国。

修补 Grafana CVE20249264 的方法

为了解决这一严重漏洞，Grafana 发布了六个新版本，包括三个仅包含安全修复的新版本和三个在修补漏洞的同时也对用户进行了升级的版本。

用户如希望在不安装最新版本的情况下进行修补，可以下载以下版本： 1105security01 1116security01 1121security01

用户也可以通过安装以下版本来同时进行修补和升级到最新版本： 1106security01 1117security01 1122security01

虽然 Grafana Labs 强烈建议用户“尽快下载安全补丁”，用户还能通过将 DuckDB 二进制文件从系统或 Grafana 可访问的 PATH 中删除来降低漏洞风险。公司表示，SQL Expressions 是唯一利用 DuckDB 的功能。

根据 Grafana Labs 发布的时间线，该漏洞最初于 2024 年 9 月 26 日被 Grafana 员工发现，Graf

梯子vpn