CVE-2024-8986 (CVSS 9.1)： Grafana 插件 SDK 缺陷导致敏感信息泄露

对于 Grafana 用户来说，一个令人担忧的开发问题是，Go 版 Grafana 插件 SDK 中发现了一个严重的安全漏洞。该漏洞的编号为 CVE-2024-8986，CVSS 评分为 9.1，可能导致敏感信息（包括存储库凭据）意外泄露。

Grafana 插件 SDK 旨在帮助使用 Go 编程语言开发后端插件，它被发现将构建元数据捆绑到已编译的二进制文件中。此元数据包括用于插件的存储库 URI，可通过执行git remote get-url origin命令来检索。

当开发人员在其存储库 URI 中包含凭据时，就会出现问题，这通常是为了获取私有依赖项。在这种情况下，最终的插件二进制文件最终会包含完整的 URI，包括这些敏感凭据。

此漏洞的潜在影响非常大。攻击者如果能访问使用受影响的 SDK 版本构建的插件，就可以轻松提取这些嵌入的凭据，从而可能获得对私有存储库及其包含的敏感代码或数据的未经授权的访问权限。

CVSS 评分为 9.1，凸显了此漏洞的严重性。这意味着该漏洞相对容易被利用，并可能导致机密性严重受损。

适用于 Go 的所有 Grafana Plugin SDK 版本（最高至 0.249.0 版）均受到 CVE-2024-8986 的影响。Grafana 团队已迅速发布0.250.0版来解决这个问题。

https://github.com/grafana/grafana-plugin-sdk-go/releases/tag/v0.250.0

强烈建议使用易受攻击的 SDK 版本构建 Grafana 插件的开发人员立即升级到 0.250.0 或更高版本。此外，检查任何可能暴露的存储库凭据并采取适当步骤进行轮换也至关重要。

原文始发于微信公众号（独眼情报）：CVE-2024-8986 (CVSS 9.1)： Grafana 插件 SDK 缺陷导致敏感信息泄露