10月17日圖像化資料分析系統Grafana發布資安公告，指出旗下11.0.x、11.1.x、11.2.x存在重大層級的漏洞CVE-2024-9264，此為SQL表達式（SQL Expressions）造成的命令注入及本機檔案包含（Local File Inclusion，LFI）弱點，CVSS風險評分達到9.9（滿分10分），開發團隊發布相關修補程式，並呼籲用戶儘速套用。

針對弱點帶來的影響，Grafana指出，攻擊者有機會存取伺服器存放的任何檔案，甚至包括檔案裡尚未經加密處理的密碼，而且，只要拿下具有檢視權限的使用者帳號，攻擊者就可以利用這項漏洞。

這項漏洞是Grafana工程師發現，坐落在名為SQL Expressions的實驗性功能，而該功能允許藉由多項SQL查詢，並將結果輸出，交由DuckDB命令列（CLI）進行後續處理。然而這些SQL查詢並未完全清理，從而導致可被用於命令注入及本機檔案包含弱點。

開發團隊指出，Grafana可能曝險的原因，在於功能切換（feature flags）實作不當，導致該實驗性功能預設可透過API存取。

不過，攻擊者若要利用漏洞，還必須滿足一些先決條件，那就是DuckDB必須設置在Grafana的PATH環境參數存取。但是DuckDB並非Grafana的預設元件，若是IT人員沒有安裝DuckDB，此係統也不會曝露於該漏洞帶來的資安風險。

若是用戶暫時無法套用新版程式，他們呼籲可從PATH參數刪除DuckDB，或是直接從Grafana移除因應。開發團隊強調，Grafana的功能與DuckDB之間無相依性，因此，移除後不會影響Grafana其他功能運作。