PT-2026-28369 · Grafana+1 · Grafana+1
Publicado
2026-03-25
·
Atualizado
2026-06-27
·
CVE-2026-27876
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Name of the Vulnerable Software and Affected Versions: Grafana versões 11.6.0 através de 11.6.14, 12.0.0 através de 12.1.10, 12.2.0 através de 12.2.8, 12.3.0 através de 12.3.6 e 12.4.0 através de 12.4.2.
Description: Um ataque em cadeia envolvendo SQL Expressions e um plugin Grafana Enterprise pode levar à execução remota de código arbitrário (RCE). O problema é habilitado pelo recurso sqlExpressions no Grafana (OSS). A exploração envolve a injeção de expressões SQL maliciosas que, quando processadas por um plugin Grafana Enterprise vulnerável, podem acionar a avaliação de código e levar ao RCE. Estima-se que aproximadamente 83.000 instâncias estejam expostas globalmente. A vulnerabilidade permite o comprometimento total do sistema, incluindo potencialmente bypass de autenticação e acesso SSH aos servidores host.
Recommendations: Atualize para a versão 11.6.14 ou posterior do Grafana. Atualize para a versão 12.1.10 ou posterior do Grafana. Atualize para a versão 12.2.8 ou posterior do Grafana. Atualize para a versão 12.3.6 ou posterior do Grafana. Atualize para a versão 12.4.2 ou posterior do Grafana. Desative a chave de alternância do recurso
sqlExpressions se uma atualização imediata não for possível.Exploit
Correção
DoS
RCE
Code Injection
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Grafana
Red Os