Se han descubierto vulnerabilidades de severidad crítica y alta en productos Grafana. Un actor malicioso podría ejecutar código arbitrario o provocar una denegación de servicio en los sistemas afectados.
Productos afectados
Grafana:
- Versiones 12.4.x anteriores a 12.4.2.
- Versiones 12.3.x anteriores a 12.3.6.
- Versiones 12.2.x anteriores a 12.2.8.
- Versiones 12.1.x anteriores a 12.1.10.
- Versiones 11.6.x anteriores a 11.6.14.
- Versión 12.0.x (Producto en fin de vida útil – EoL).
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-27876: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de ejecución remota de código mediante un ataque encadenado que utiliza expresiones SQL y un complemento de Grafana Enterprise. Un actor malicioso con acceso para ejecutar consultas de fuentes de datos podría sobrescribir un controlador de Sqlyze o modificar un archivo de configuración de fuente de datos de AWS para lograr la ejecución remota completa de código.
CVE-2026-27880: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de consumo de recursos en el punto final de evaluación de la función OpenFeature. Un actor malicioso remoto podría realizar solicitudes que obliguen al sistema a leer valores ilimitados en la memoria, provocando caídas por agotamiento de recursos y una denegación de servicio.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias