Uma vulnerabilidade crítica de segurança (CVE-2024-9264) foi descoberta no Grafana, uma popular plataforma open-source usada para monitoramento e observabilidade. Com uma pontuação de 9.9 no CVSS v3.1, essa falha pode permitir que invasores executem códigos arbitrários em sistemas afetados, levando ao comprometimento total do sistema.

O problema surge de um recurso experimental chamado “SQL Expressions”, que permite aos usuários processar consultas de fontes de dados usando SQL. De acordo com o comunicado de segurança divulgado pela Grafana Labs, “essas consultas SQL não foram completamente sanitizadas, levando a uma vulnerabilidade de injeção de comandos e inclusão local de arquivos.”

Isso significa que atores maliciosos podem criar consultas que escapam do contexto SQL pretendido e executar comandos no sistema ou acessar arquivos sensíveis no servidor. O comunicado alerta que “qualquer usuário do Grafana com permissões de Viewer ou superiores pode executar esse ataque.”

A Grafana Labs respondeu rapidamente, lançando versões corrigidas para todas as versões afetadas do Grafana 11. Como mitigação temporária, a Grafana Labs recomenda remover o binário DuckDB do PATH do sistema ou desinstalá-lo completamente.