Múltiples vulnerabilidades en Grafana
Grafana, las versiones anteriores a:
- 12.4.2;
- 12.3.6;
- 12.2.8;
- 12.1.10;
- 11.6.14.
Grafana ha informado de 2 vulnerabilidades, 1 de severidad crítica y otra alta que, en caso de ser explotadas, podrían lograr la ejecución de código en remoto y el bloqueo del servidor de Grafana.
Actualizar el producto a alguna de las siguientes versiones:
- 12.4.2;
- 12.3.6;
- 12.2.8;
- 12.1.10;
- 11.6.14.
- CVE-2026-27876: La característica de expresiones SQL permite transformar datos de consulta con una sintaxis SQL familiar. Sin embargo, esta sintaxis también permitía escribir ficheros arbitrarios en el sistema de archivos de forma que una persona podría concatenar diferentes vectores de ataque para lograr la ejecución de código en remoto. Para que se pueda explotar esta vulnerabilidad es necesario que se cumplan los siguientes requisitos:
- Acceso para ejecutar consultas en fuentes de datos (permisos de visualización –Viewer– o superiores).
- La función ‘sqlExpressions‘ debe estar habilitada en la instancia de Grafana.
- CVE-2026-27880: Los ‘endpoints‘ de validación de características de OpenFeature de Grafana no requieren autenticación y aceptan entradas de usuario sin restricciones que son leídas en la memoria.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-27880 | Alta | No | Grafana |
| CVE-2026-27876 | Crítica | No | Grafana |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.