Vulnerabilidad en Grafana (CVE-2026-21725)

Una vulnerabilidad de tipo "time-of-create-to-time-of-use" (TOCTOU) permite que las fuentes de datos recientemente eliminadas y luego recreadas sean re-eliminadas sin permiso para hacerlo.<br /> <br /> Esto requiere que se cumplan varias condiciones muy estrictas:<br /> <br /> - El atacante debe tener acceso de administrador a la fuente de datos específica antes de su primera eliminación.<br /> - Tras la eliminación, todos los pasos del ataque deben ocurrir dentro de los siguientes 30 segundos y en el mismo pod de Grafana.<br /> - El atacante debe eliminar la fuente de datos, luego alguien debe recrearla.<br /> - La nueva fuente de datos no debe tener al atacante como administrador.<br /> - La nueva fuente de datos debe tener el mismo UID que la fuente de datos anterior. Estos se aleatorizan por defecto.<br /> - La fuente de datos ahora puede ser re-eliminada por el atacante.<br /> - Una vez transcurridos 30 segundos, el ataque se agota y no puede repetirse.<br /> - Ninguna fuente de datos con cualquier otro UID puede ser atacada.