Разработчики популярной платформы для визуализации и мониторинга данных Grafana выпустили экстренные обновления безопасности для устранения двух опасных уязвимостей. Проблемы, получившие идентификаторы CVE-2026-27876 и CVE-2026-27880, позволяют злоумышленникам либо получить полный контроль над сервером, либо вывести его из строя. Учитывая, что Grafana широко используется в корпоративных SOC, облачных инфраструктурах и для бизнес-аналитики, масштаб потенциальных последствий этих уязвимостей чрезвычайно высок. Эксперты настоятельно рекомендуют администраторам немедленно обновить все экземпляры до исправленных версий.
Детали уязвимостей
Первая и наиболее серьезная уязвимость, CVE-2026-27876, оцененная по шкале CVSS в 9.1 баллов (критический уровень), была обнаружена в функции SQL expressions. Эта функция, предназначенная для трансформации данных запросов с использованием знакомого SQL-синтаксиса, содержала ошибку, позволяющую записывать произвольные файлы в файловую систему сервера Grafana. Злоумышленник, обладающий правами на выполнение запросов к источникам данных (достаточно уровня Viewer), мог скомбинировать эту возможность с другими векторами атаки для достижения удаленного выполнения кода (RCE). В частности, разработчики подтвердили, что уязвимость могла быть использована для перезаписи драйвера Sqlyze или файла конфигурации источника данных AWS, что в итоге приводило к полному компрометированию хоста, вплоть до получения SSH-доступа. Проблема затрагивает все версии Grafana, начиная с v11.6.0, при условии, что функция sqlExpressions активирована.
Вторая уязвимость, CVE-2026-27880, имеет высокий уровень опасности (7.5 баллов по CVSS) и связана с эндпоинтами проверки функциональных флагов OpenFeature. Ключевая проблема заключалась в том, что эти конечные точки не требовали аутентификации и принимали неограниченные пользовательские данные, которые загружались напрямую в оперативную память. Это создавало идеальные условия для атаки типа "отказ в обслуживании" (DoS). Злоумышленник мог отправить специально сформированные запросы большого объема, что приводило к исчерпанию доступной памяти и аварийному завершению работы сервера Grafana. Данная уязвимость присутствует во всех версиях, начиная с v12.1.0.
Разработчики оперативно отреагировали на угрозы, выпустив исправленные версии для всех актуальных веток: 12.4.2, 12.3.6, 12.2.8, 12.1.10 и 11.6.14. Согласно политике безопасности компании, клиенты Grafana Labs и партнерские облачные сервисы, такие как Amazon Managed Grafana и Azure Managed Grafana, получили патчи заранее, под эмбарго, что позволило им подготовиться к публичному объявлению. Между тем, для тысяч организаций, которые развернули Grafana самостоятельно, обновление становится первоочередной задачей.
Если немедленное обновление невозможно, разработчики предлагают временные меры по снижению рисков. Для критической уязвимости CVE-2026-27876 рекомендуется полностью отключить функцию sqlExpressions через соответствующий переключатель (feature toggle). Альтернативный, но менее надежный вариант включает обновление плагина Sqlyze до версии не ниже 1.5.0 и отключение всех источников данных AWS. Важно понимать, что эти меры могут нарушить работу платформы для пользователей и не гарантируют полного устранения угрозы. Для защиты от атак на отказ в обслуживании (CVE-2026-27880) можно развернуть Grafana в высокодоступном окружении с автоматическим перезапуском или настроить обратный прокси-сервер (например, Nginx или Cloudflare) для ограничения размера входящих запросов.
Хронология инцидента показывает, что разработчики действовали оперативно. Критическая уязвимость была обнаружена 23 февраля 2026 года, и уже через несколько часов облачный сервис Grafana Cloud был защищен. Через две недели, 9 марта, исправленные версии были предоставлены корпоративным клиентам, а 25 марта состоялся публичный релиз для всех пользователей. Уязвимость CVE-2026-27876 была ответственно раскрыта через программу вознаграждений за ошибки (bug bounty) исследователем Лиадом Элияху из Miggo Security, в то время как проблема с OpenFeature была найдена внутренней командой безопасности Grafana Labs.
Этот инцидент вновь подчеркивает важность своевременного обновления программного обеспечения, особенно в критически важных компонентах инфраструктуры мониторинга. Grafana часто имеет доступ к конфиденциальным данным из различных систем, и ее компрометация может стать началом цепочки атак, ведущей к утечке ключевой бизнес-информации или остановке процессов наблюдения за ИТ-окружением. Администраторам стоит не только установить патчи, но и пересмотреть конфигурацию своих развертываний, минимизировав права доступа пользователей и внедрив дополнительные средства контроля за входящим трафиком.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-27880
- https://www.cve.org/CVERecord?id=CVE-2026-27876
- https://grafana.com/blog/grafana-security-release-critical-and-high-severity-security-fixes-for-cve-2026-27876-and-cve-2026-27880/
