Origine : bjCSIRT
Numéro : 2024/ALERTE/070
Date de l’alerte : 29/10/2024
APERÇU :
Une vulnérabilité d’exécution de code à distance, impliquant une injection de commande et une inclusion de fichier local, a été découverte dans Grafana.
DESCRIPTION :
Grafana est une application open source utilisée pour la visualisation de données, le monitoring, et la gestion d’alertes.
Elle présente une vulnérabilité, libellée CVE-2024-9264, qui permettrait à un acteur malveillant d’exécuter du code à distance et de réaliser une inclusion de fichier local. Cette vulnérabilité est due à une fonction expérimentale appelée SQL Expressions qui permet d’évaluer les requêtes “duckdb” contenant des entrées utilisateurs en exécutant une ou plusieurs requêtes SQL. Les requêtes et les données sont transmises au logiciel DuckDB CLI, qui exécute le code SQL sans filtrage adéquat, ce qui conduit à une injection de commande et à une inclusion de fichier locale.
Cette vulnérabilité est classée critique avec un score CVSS3 de 9.9.
IMPACT :
- Exécution de code à distance ;
- Accès à des données sensibles ;
- Compromission de l’intégrité du système ;
SYSTÈMES AFFECTÉS :
Toutes les versions de Grafana supérieures à la version 11.0.0 incluse.
MESURES À PRENDRE :
Il est recommandé de mettre à jour Grafana vers la version 11.0.x, 11.1.x, 11.2.x ou ultérieure.
RÉFÉRENCES :