Grafana - CVE-2026-27876

Date de publication :

Il s'agit d'une vulnérabilité dans la fonctionnalité SQL Expressions de Grafana. L

Grafana est une plateforme open source de visualisation et de supervision des données. Elle est utilisée pour créer des tableaux de bord d'observabilité à partir de sources de données multiples (Prometheus, Loki, bases SQL, AWS CloudWatch, etc.) dans des environnements IT, industriels et hospitaliers.

es expressions SQL ne sont pas correctement sanitisées, ce qui permet l'écriture de fichiers arbitraires sur le système de fichiers du serveur. L'attaque est enchaînée avec un plugin Grafana Enterprise (pilote Sqlyze ou configuration source de données AWS) pour déclencher une exécution de code à distance, confirmée par l'éditeur jusqu'à l'obtention d'une connexion SSH sur l'hôte. L'exploitation requiert le feature toggle sqlExpressions activé et un compte avec des droits Viewer minimum.

Elle permet une exécution de code arbitraire à distance avec les droits du processus Grafana.

CVE-2026-27876

[Score CVSS v3.1 : 9.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-94 : Improper Control of Generation of Code (Code Injection)

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur à privilège
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Grafana OSS et Grafana Enterprise versions 11.6.0 jusqu'à 11.6.13
•   Grafana OSS et Grafana Enterprise versions 12.1.0 jusqu'à 12.1.9
•   Grafana OSS et Grafana Enterprise versions 12.2.0 jusqu'à 12.2.7
•   Grafana OSS et Grafana Enterprise versions 12.3.0 jusqu'à 12.3.5
•   Grafana OSS et Grafana Enterprise versions 12.4.0 jusqu'à 12.4.1

Contournement provisoire

  • Option 1 : désactiver le feature toggle sqlExpressions. 
  • Option 2 : mettre à jour le plugin Sqlyze vers la version 1.5.0 minimum ou le désactiver, ET désactiver simultanément toutes les sources de données AWS installées.

Solutions ou recommandations

•   Grafana versions 11.6.14 et supérieures
•   Grafana versions 12.1.10 et supérieures
•   Grafana versions 12.2.8 et supérieures
•   Grafana versions 12.3.6 et supérieures
•   Grafana versions 12.4.2 et supérieures

Liens