CVE-2026-27876 Grafana — эксплойт и детали уязвимости CRITICAL

Параметр	Значение
CVSS	9,1 (CRITICAL)
Уязвимые версии	11.6.14 — 12.4.0
Устранено в версии	11.6.0
Тип уязвимости	CWE-94 (Внедрение кода)
Поставщик	Grafana
Публичный эксплойт	Нет

Цепная атака с помощью выражений SQL и плагина Grafana Enterprise может привести к удаленному выполнению произвольного кода (RCE). Это обеспечивается функцией Grafana (OSS), поэтому всем пользователям всегда рекомендуется выполнить обновление, чтобы избежать будущих векторов атак, идущих по этому пути. Уязвимы только экземпляры с включенным переключателем функции sqlExpressions.

Показать оригинальное описание (EN)

A chained attack via SQL Expressions and a Grafana Enterprise plugin can lead to a remote arbitrary code execution impact (RCE). This is enabled by a feature in Grafana (OSS), so all users are always recommended to update to avoid future attack vectors going this path. Only instances with the sqlExpressions feature toggle enabled are vulnerable. Only instances in the following version ranges are affected: - 11.6.0 (inclusive) to 11.6.14 (exclusive): 11.6.14 has the fix. 11.5 and below are not affected. - 12.0.0 (inclusive) to 12.1.10 (exclusive): 12.1.10 has the fix. 12.0 did not receive an update, as it is end-of-life. - 12.2.0 (inclusive) to 12.2.8 (exclusive): 12.2.8 has the fix. - 12.3.0 (inclusive) to 12.3.6 (exclusive): 12.3.6 has the fix. - 12.4.0 (inclusive) to 12.4.2 (exclusive): 12.4.2 has the fix. 13.0.0 and above also have the fix: no v13 release is affected.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Высокие

Нужны права администратора

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-94 Code Injection (Внедрение кода)

Уязвимые продукты 5

Конфигурация	От (включительно)	До (исключительно)
Grafana Grafana cpe:2.3:a:grafana:grafana:::::enterprise:::*	—	`11.6.0`
Grafana Grafana cpe:2.3:a:grafana:grafana:::::enterprise:::*	`11.6.14`	`12.0.0`
Grafana Grafana cpe:2.3:a:grafana:grafana:::::enterprise:::*	`12.1.10`	`12.2.0`
Grafana Grafana cpe:2.3:a:grafana:grafana:::::enterprise:::*	`12.2.8`	`12.3.0`
Grafana Grafana cpe:2.3:a:grafana:grafana:::::enterprise:::*	`12.3.6`	`12.4.0`

Ссылки 1

https://grafana.com/security/security-advisories/cve-2026-27876

security@grafana.com

Share Post Share Share Share

Связанные уязвимости

CVE-2026-21727

Grafana

3,3

CVE-2026-28375

Grafana

6,5

CVE-2026-27879

Grafana

6,5

CVE-2026-28377

Grafana

7,5

CVE-2026-33375

Grafana

6,5

Меню

CVE-2026-27876

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Уязвимые продукты 5

Ссылки 1

Связанные уязвимости

CVE-2026-21727

CVE-2026-28375

CVE-2026-27879

CVE-2026-28377

CVE-2026-33375

Сводка

Выбор редакции

Меню

CVE-2026-27876

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Уязвимые продукты 5

Ссылки 1

Связанные уязвимости

CVE-2026-21727

CVE-2026-28375

CVE-2026-27879

CVE-2026-28377

CVE-2026-33375

Сводка

Выбор редакции

Будьте в курсе кибербезопасности