Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Grafana

Fecha de publicación 27/03/2026
Identificador
INCIBE-2026-236
Importancia
5 - Crítica
Recursos Afectados

Grafana, las versiones anteriores a:

  • 12.4.2;
  • 12.3.6;
  • 12.2.8;
  • 12.1.10;
  • 11.6.14.
Descripción

Grafana ha informado de 2 vulnerabilidades, 1 de severidad crítica y otra alta que, en caso de ser explotadas, podrían lograr la ejecución de código en remoto y el bloqueo del servidor de Grafana.

Solución

Actualizar el producto a alguna de las siguientes versiones:

  • 12.4.2;
  • 12.3.6;
  • 12.2.8;
  • 12.1.10;
  • 11.6.14.
Detalle
  • CVE-2026-27876: La característica de expresiones SQL permite transformar datos de consulta con una sintaxis SQL familiar. Sin embargo, esta sintaxis también permitía escribir ficheros arbitrarios en el sistema de archivos de forma que una persona podría concatenar diferentes vectores de ataque para lograr la ejecución de código en remoto. Para que se pueda explotar esta vulnerabilidad es necesario que se cumplan los siguientes requisitos:
    • Acceso para ejecutar consultas en fuentes de datos (permisos de visualización -Viewer- o superiores).
    • La función 'sqlExpressions' debe estar habilitada en la instancia de Grafana.
  • CVE-2026-27880: Los 'endpoints' de validación de características de OpenFeature de Grafana no requieren autenticación y aceptan entradas de usuario sin restricciones que son leídas en la memoria.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-27880 Alta No Grafana
CVE-2026-27876 Crítica No Grafana
Listado de referencias
Grafana security release: Critical and high severity security fixes for CVE-2026-27876 and CVE-2026-27880
Etiquetas