CVE-2026-27876: Уразливість у Grafana з можливістю віддаленого виконання коду
Уразливість CVE-2026-27876 у Grafana дозволяє віддалене виконання коду. Оновіть Grafana до безпечних версій для захисту систем.
- CVSS
- 9.1 CRITICAL
- EPSS
- 77.52%
- Активно використовується
- немає в KEV
- Продукт
- grafana
Що відомо
Уразливість у Grafana Enterprise, пов’язана з функцією sqlExpressions, дозволяє здійснити ланцюгову атаку через SQL-вирази, що може призвести до віддаленого виконання довільного коду (RCE). Вразливі версії охоплюють діапазони від 11.6.0 до 12.4.2 з певними виключеннями, де виправлення вже доступні.
Бізнес-вплив
Ця критична уразливість з оцінкою CVSS 9.1 може дозволити зловмисникам отримати повний контроль над системою, що працює на уразливих версіях Grafana з увімкненою функцією sqlExpressions. Це створює серйозні ризики для безпеки інфраструктури, включно з можливістю компрометації даних та порушення роботи сервісів.
Рекомендовані дії адміністратора
Адміністраторам слід перевірити, чи використовується функція sqlExpressions, та оновити Grafana до версій з виправленнями (11.6.14, 12.1.10, 12.2.8, 12.3.6, 12.4.2 або новіших). Якщо оновлення неможливе, рекомендується обмежити доступ до уразливих інстанцій, переглянути журнали на ознаки компрометації та застосувати заходи зниження ризиків.