Vulnerabilidad crítica en Grafana

Se ha identificado una vulnerabilidad crítica que afecta a Grafana, una plataforma ampliamente utilizada para la visualización y monitoreo de datos. La vulnerabilidad involucra una función experimental de la plataforma, que permite a usuarios con ciertos permisos ejecutar código malicioso. Esto podría resultar en un acceso no autorizado a archivos locales o la ejecución de comandos que comprometan la integridad del sistema.

  • CVE-2024-9264 (CVSS 9.4): Esta vulnerabilidad se relaciona con el manejo inadecuado de las consultas duckdb dentro de Grafana, lo que permite la inyección de código y ejecución remota. Cualquier usuario con permisos de VIEWER o superiores puede ejecutar ataques a través de consultas que no son debidamente validadas. La presencia del binario duckdb en el $PATH de Grafana es esencial para que este ataque sea posible.

Productos y versiones afectadas:

Producto AfectadoVersión AfectadaSolución
GrafanaDesde la versión 11.0.0 hasta antes de la 11.0.5.Actualizar a la versión 11.0.5+security-01.
Desde la versión 11.1.9 hasta antes de la 11.1.6.Actualizar a la versión 11.1.6+security-01.
Desde la versión 11.2.0 hasta antes de la 11.2.1.Actualizar a la versión 11.2.1+security-01.
Desde la versión 11.0.0 hasta antes de la 11.0.6.Actualizar a la versión 11.0.6+security-01.
Desde la versión 11.1.0 hasta antes de la 11.1.7.Actualizar a la versión 11.1.7+security-01.
Desde la versión 11.2.0 hasta antes de la 11.2.2.Actualizar a la versión 11.2.2+security-01.

Recomendaciones:

  • Implementar las actualizaciones de seguridad proporcionadas por el proveedor.
  • Revisar los permisos de usuario y ajustar roles a los niveles mínimos necesarios.
  • Deshabilitar funciones experimentales que no sean críticas para la operación del sistema.

Referencias: