关键漏洞信息 漏洞概述 CVE-2024-8975: Grafana Alloy Windows 安装程序未将服务可执行路径用引号括起来,导致本地用户可利用权限提升漏洞。 CVE-2024-8996: Grafana Agent Flow 模式的 Windows 安装程序存在相同的安全问题。 影响 CVE-2024-8975: 本地用户可利用此漏洞在安装了 Grafana Alloy 的任意 Windows 机器上提升权限。 CVE-2024-8996: 本地用户可利用此漏洞在安装了 Grafana Agent Flow 模式的任意 Windows 机器上提升权限。 受影响版本 CVE-2024-8975: Grafana Alloy 版本 v1.3.3 和 v1.4.0-rc.0 → v1.4.0-rc.1 之前的版本。 CVE-2024-8996: Grafana Agent Flow 模式的 Windows 版本 v0.43.2 之前的版本。 解决方案和缓解措施 CVE-2024-8975: 推荐卸载并重新安装 Grafana Alloy,或者手动将可执行路径添加双引号。 CVE-2024-8996: 推荐卸载并重新安装 Grafana Agent Flow 模式,或者手动将可执行路径添加双引号。 事件时间线和后续审查 CVE-2024-8975: - 2024-04-05: 发布 Grafana Alloy 1.0,包含漏洞。 - 2024-09-17: 客户报告漏洞。 - 2024-09-18: 检查修复。 - 2024-09-19: 公共发布修复版本。 CVE-2024-8996: - 2023-04-25: 发布 Grafana Agent Flow Windows 安装程序。 - 2024-09-17: 客户报告漏洞。 - 2024-09-19: 检查修复。 - 2024-09-25: 公共发布修复版本。