Uma falha crítica no Grafana, ferramenta amplamente utilizada para monitoramento de sistemas e análise de dados, colocou inúmeras organizações em risco. A vulnerabilidade, identificada como CVE-2024-9264 e classificada com uma pontuação CVSS de 9.9, permite que atacantes com permissões de “visualizador” ou superiores executem injeções de comandos e obtenham acesso a arquivos locais sensíveis. O código de exploração de prova de conceito (PoC) para essa vulnerabilidade já foi publicado, aumentando ainda mais a urgência de correções. A falha afeta as versões 11.0.x, 11.1.x e 11.2.x do Grafana, comprometendo sistemas que utilizam a ferramenta para monitoramento e análise.

A vulnerabilidade está ligada à introdução do recurso experimental de Expressões SQL no Grafana 11, que permite a pós-processamento de dados através de consultas SQL. No entanto, esse recurso não sanitiza corretamente as entradas dos usuários, o que abre caminho para a execução de comandos maliciosos no sistema através do DuckDB CLI, resultando em potenciais explorações de Local File Inclusion (LFI) e Injeção de Comandos. A configuração incorreta do Grafana, que deixou a funcionalidade de Expressões SQL habilitada por padrão na API, agrava a situação.

Isso significa que, sob certas condições, invasores podem explorar essa falha para acessar informações sensíveis ou até executar código remotamente (RCE). A Grafana já lançou atualizações para corrigir essa vulnerabilidade. Todos os usuários são fortemente recomendados a atualizar suas instâncias para as versões corrigidas imediatamente para evitar possíveis ataques.