流行的监控和可观察性开源平台 Grafana 发现了一个严重的安全漏洞 (CVE-2024-9264)。该漏洞的 CVSS v3.1 得分为 9.9，攻击者可利用该漏洞在受影响的系统上执行任意代码，可能导致系统完全崩溃。

该漏洞源于一个名为 “SQL 表达式 ”的实验性功能，它允许用户使用 SQL 对数据源查询进行后处理。根据 Grafana 实验室发布的安全公告，“这些 SQL 查询没有经过完全消毒，导致命令注入和本地文件包含漏洞”。

这意味着，恶意行为者可以精心设计查询，摆脱预定的 SQL 上下文，执行系统命令或访问服务器上的敏感文件。令人担忧的是，该公告指出：”任何拥有查看器权限或更高权限的 Grafana 用户都能够执行这种攻击。

Grafana 实验室在其公告中解释说：”由于功能标志的实现不正确，API 默认启用了这一实验性功能。这一默认设置，再加上系统 PATH 中 DuckDB 二进制文件的可用性，使得环境很容易受到攻击。重要的是，DuckDB 二进制文件默认不与 Grafana 打包在一起，这意味着只有安装了 DuckDB 并可通过 PATH 访问的实例才有可能被利用。

Grafana 实验室已迅速采取行动解决 CVE-2024-9264 问题，为所有受影响的 Grafana 11 版本发布了修补版本。强烈建议用户立即升级到已打补丁的版本：

• 11.0.5+security-01 （仅安全修复）
• 11.1.6+security-01 （仅安全修复）
• 11.2.1+security-01 (仅安全修复)
• 11.0.6+security-01 （包含最新功能和安全修复）
• 11.1.7+security-01 （包含最新功能和安全修复）
• 11.2.2+security-01 （包括最新功能和安全修复）

“公告强调：”如果您的实例存在漏洞，我们强烈建议您尽快升级到已打补丁的 Grafana 版本之一。

作为临时缓解措施，Grafana 实验室建议从系统的 PATH 中移除 DuckDB 二进制文件或完全卸载它。