Se ha identificado una vulnerabilidad crítica que afecta a Grafana, una plataforma ampliamente utilizada para la visualización y monitoreo de datos. La vulnerabilidad involucra una función experimental de la plataforma, que permite a usuarios con ciertos permisos ejecutar código malicioso. Esto podría resultar en un acceso no autorizado a archivos locales o la ejecución de comandos que comprometan la integridad del sistema.
- CVE-2024-9264 (CVSS 9.4): Esta vulnerabilidad se relaciona con el manejo inadecuado de las consultas duckdb dentro de Grafana, lo que permite la inyección de código y ejecución remota. Cualquier usuario con permisos de VIEWER o superiores puede ejecutar ataques a través de consultas que no son debidamente validadas. La presencia del binario duckdb en el $PATH de Grafana es esencial para que este ataque sea posible.
Productos y versiones afectadas:
| Producto Afectado | Versión Afectada | Solución |
| Grafana | Desde la versión 11.0.0 hasta antes de la 11.0.5. | Actualizar a la versión 11.0.5+security-01. |
| Desde la versión 11.1.9 hasta antes de la 11.1.6. | Actualizar a la versión 11.1.6+security-01. | |
| Desde la versión 11.2.0 hasta antes de la 11.2.1. | Actualizar a la versión 11.2.1+security-01. | |
| Desde la versión 11.0.0 hasta antes de la 11.0.6. | Actualizar a la versión 11.0.6+security-01. | |
| Desde la versión 11.1.0 hasta antes de la 11.1.7. | Actualizar a la versión 11.1.7+security-01. | |
| Desde la versión 11.2.0 hasta antes de la 11.2.2. | Actualizar a la versión 11.2.2+security-01. |
Recomendaciones:
- Implementar las actualizaciones de seguridad proporcionadas por el proveedor.
- Revisar los permisos de usuario y ajustar roles a los niveles mínimos necesarios.
- Deshabilitar funciones experimentales que no sean críticas para la operación del sistema.
Referencias: