Se han descubierto vulnerabilidades de severidad alta en productos Grafana. Un actor malicioso podría realizar una escalada de privilegios internos o causar una denegación de servicio en los sistemas afectados.
Productos afectados
- Grafana 12.3.x: versiones anteriores a 12.3.1+security-01.
- Grafana 12.2.x: versiones anteriores a 12.2.3+security-01.
- Grafana 12.1.x: versiones anteriores a 12.1.5+security-01.
- Grafana 12.0.x: versiones anteriores a 12.0.8+security-01.
- Grafana: desde la versión 3.0.0 hasta versiones anteriores a 11.6.9+security-01.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026–21721: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de escalada de privilegios en la API de permisos de tableros. Un actor malicioso autenticado que posea derechos de gestión sobre un tablero específico podría permitir la lectura y modificación de permisos en otros tableros de la organización sin tener la autorización necesaria, evadiendo las restricciones de seguridad internas.
CVE-2026–21720: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de denegación de servicio en el controlador de rutas de avatares. Un actor malicioso remoto podría enviar solicitudes continuas con identificadores aleatorios que podrían permitir el agotamiento de la memoria del sistema mediante el bloqueo indefinido de procesos internos, provocando el bloqueo de la aplicación.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias