10月17日图像化数据分析系统Grafana发布资安公告，指出旗下11.0.x、11.1.x、11.2.x存在重大层级的漏洞CVE-2024-9264，此为SQL表达式（SQL Expressions）造成的命令注入及本机文件包含（Local File Inclusion，LFI）弱点，CVSS风险评分达到9.9（满分10分），开发团队发布相关修补程序，并呼吁用户尽速套用。

针对弱点带来的影响，Grafana指出，攻击者有机会存取服务器存放的任何文件，甚至包括文件里尚未经加密处理的密码，而且，只要拿下具有视图权限的用户帐号，攻击者就可以利用这项漏洞。

这项漏洞是Grafana工程师发现，坐落在名为SQL Expressions的实验性功能，而该功能允许借由多项SQL查找，并将结果输出，交由DuckDB命令行（CLI）进行后续处理。然而这些SQL查找并未完全清理，从而导致可被用于命令注入及本机文件包含弱点。

开发团队指出，Grafana可能曝险的原因，在于功能切换（feature flags）实作不当，导致该实验性功能默认可通过API存取。

不过，攻击者若要利用漏洞，还必须满足一些先决条件，那就是DuckDB必须设置在Grafana的PATH环境参数存取。但是DuckDB并非Grafana的默认组件，若是IT人员没有安装DuckDB，此系统也不会曝露于该漏洞带来的资安风险。

若是用户暂时无法套用新版程序，他们呼吁可从PATH参数删除DuckDB，或是直接从Grafana移除因应。开发团队强调，Grafana的功能与DuckDB之间无相依性，因此，移除后不会影响Grafana其他功能运作。