CVE-2026-27876: Уразливість у Grafana з можливістю віддаленого виконання коду

Уразливість CVE-2026-27876 у Grafana дозволяє віддалене виконання коду. Оновіть Grafana до безпечних версій для захисту систем.
CVE-2026-27876CVSS 9.1General

CVE-2026-27876: Уразливість у Grafana з можливістю віддаленого виконання коду

Уразливість CVE-2026-27876 у Grafana дозволяє віддалене виконання коду. Оновіть Grafana до безпечних версій для захисту систем.

CVSS
9.1 CRITICAL
EPSS
77.52%
Активно використовується
немає в KEV
Продукт
grafana

Що відомо

Уразливість у Grafana Enterprise, пов’язана з функцією sqlExpressions, дозволяє здійснити ланцюгову атаку через SQL-вирази, що може призвести до віддаленого виконання довільного коду (RCE). Вразливі версії охоплюють діапазони від 11.6.0 до 12.4.2 з певними виключеннями, де виправлення вже доступні.

Бізнес-вплив

Ця критична уразливість з оцінкою CVSS 9.1 може дозволити зловмисникам отримати повний контроль над системою, що працює на уразливих версіях Grafana з увімкненою функцією sqlExpressions. Це створює серйозні ризики для безпеки інфраструктури, включно з можливістю компрометації даних та порушення роботи сервісів.

Рекомендовані дії адміністратора

Адміністраторам слід перевірити, чи використовується функція sqlExpressions, та оновити Grafana до версій з виправленнями (11.6.14, 12.1.10, 12.2.8, 12.3.6, 12.4.2 або новіших). Якщо оновлення неможливе, рекомендується обмежити доступ до уразливих інстанцій, переглянути журнали на ознаки компрометації та застосувати заходи зниження ризиків.

Джерела