PT-2026-28369 · Grafana+1 · Grafana+1

Publicado

2026-03-25

·

Atualizado

2026-06-27

·

CVE-2026-27876

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Name of the Vulnerable Software and Affected Versions: Grafana versões 11.6.0 através de 11.6.14, 12.0.0 através de 12.1.10, 12.2.0 através de 12.2.8, 12.3.0 através de 12.3.6 e 12.4.0 através de 12.4.2.
Description: Um ataque em cadeia envolvendo SQL Expressions e um plugin Grafana Enterprise pode levar à execução remota de código arbitrário (RCE). O problema é habilitado pelo recurso sqlExpressions no Grafana (OSS). A exploração envolve a injeção de expressões SQL maliciosas que, quando processadas por um plugin Grafana Enterprise vulnerável, podem acionar a avaliação de código e levar ao RCE. Estima-se que aproximadamente 83.000 instâncias estejam expostas globalmente. A vulnerabilidade permite o comprometimento total do sistema, incluindo potencialmente bypass de autenticação e acesso SSH aos servidores host.
Recommendations: Atualize para a versão 11.6.14 ou posterior do Grafana. Atualize para a versão 12.1.10 ou posterior do Grafana. Atualize para a versão 12.2.8 ou posterior do Grafana. Atualize para a versão 12.3.6 ou posterior do Grafana. Atualize para a versão 12.4.2 ou posterior do Grafana. Desative a chave de alternância do recurso sqlExpressions se uma atualização imediata não for possível.

Exploit

Correção

DoS

RCE

Code Injection

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-04159
BIT-GRAFANA-2026-27876
CVE-2026-27876
OPENSUSE-SU-2026:10601-1
OPENSUSE-SU-2026:20940-1
SUSE-SU-2026:1524-1
SUSE-SU-2026:2243-1
SUSE-SU-2026:2258-1
SUSE-SU-2026:2265-1

Produtos afetados

Grafana
Red Os