Vulnerabilidad en Gravatar (CVE-2026-21720)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
27/01/2026
Última modificación:
17/02/2026
Descripción
Cada solicitud sin caché a /avatar/:hash lanza una goroutine que actualiza la imagen de Gravatar. Si la actualización permanece en la cola de trabajadores de 10 ranuras por más de tres segundos, el manejador agota el tiempo de espera y deja de escuchar el resultado, de modo que esa goroutine se bloquea para siempre intentando enviar en un canal sin búfer. El tráfico sostenido con hashes aleatorios sigue activando este tiempo de espera, por lo que el recuento de goroutines crece linealmente, agotando la memoria con el tiempo y provocando que Grafana falle en algunos sistemas.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:grafana:grafana:*:*:*:*:-:*:*:* | 3.0.0 (incluyendo) | 11.6.9 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:enterprise:*:*:* | 3.0.0 (incluyendo) | 11.6.9 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:-:*:*:* | 12.0.0 (incluyendo) | 12.0.8 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:enterprise:*:*:* | 12.0.0 (incluyendo) | 12.0.8 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:-:*:*:* | 12.1.0 (incluyendo) | 12.1.5 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:enterprise:*:*:* | 12.1.0 (incluyendo) | 12.1.5 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:-:*:*:* | 12.2.0 (incluyendo) | 12.2.3 (excluyendo) |
| cpe:2.3:a:grafana:grafana:*:*:*:*:enterprise:*:*:* | 12.2.0 (incluyendo) | 12.2.3 (excluyendo) |
| cpe:2.3:a:grafana:grafana:12.3.0:*:*:*:-:*:*:* | ||
| cpe:2.3:a:grafana:grafana:12.3.0:*:*:*:enterprise:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página