Dwie nowe podatności zidentyfikowane w Grafanie
CSIRT CeZ ostrzega: dwie nowe podatności zidentyfikowane w Grafanie stanowią poważne zagrożenie dla środowisk korzystających z tej platformy. Pierwsza z nich umożliwia zapis dowolnych plików w systemie, co w określonych warunkach może prowadzić do zdalnego wykonania kodu (RCE). Druga pozwala na nieautoryzowane przesyłanie dużych porcji danych do pamięci, co może skutkować jej przepełnieniem i doprowadzić do niedostępności aplikacji lub serwera. Obie luki wymagają pilnej weryfikacji i aktualizacji środowisk produkcyjnych.
Charakterystyka podatności CVE-2026-27876
- oznaczenie: CVE-2026-27876
- CVSS: 3.1 9,1 (Critical)
Jak działa podatność
Funkcja wyrażeń SQL w Grafanie umożliwia przekształcanie danych zapytań z użyciem standardowej składni SQL. Implementacja tej funkcji zawiera lukę, która pozwala na zapisywanie dowolnych plików w systemie plików. W rezultacie można połączyć kilka wektorów ataku, co ostatecznie umożliwia zdalne wykonanie kodu
Charakterystyka podatności CVE-2026-27880
- CVE-2026-27880
- CVSS: 3.1 7,5 (High)
Jak działa podatność
Punkty końcowe odpowiedzialne za weryfikację flag funkcji OpenFeature w Grafanie nie wymagają uwierzytelnienia, a jednocześnie akceptują dowolnie duże dane wejściowe od użytkownika. Wprowadzona w ten sposób treść jest następnie bezpośrednio wczytywana do pamięci, co może doprowadzić do jej przepełnienia. Aplikacja lub cały serwer może przestać odpowiadać, zrestartować się albo przejść w stan awaryjny.
Podatne systemy
Grafana w wersjach:
- 12.3,
- 12.2,
- 12.1,
- 11.6.
Rekomendowane działania
Wgranie poprawek zgodnie z zaleceniem producenta.