文章总结： Grafana在12.4.2版本紧急修复了两个高危漏洞。CVE-2026-27876允许具备Viewer及以上权限的攻击者通过SQL表达式功能写入任意文件，进而实现远程代码执行（RCE）；CVE-2026-27880则是一个未授权的拒绝服务（DoS）漏洞，攻击者可发送超大请求导致服务崩溃。建议用户立即升级至最新版本或关闭相关功能开关以作临时防护。 综合评分： 85 文章分类： 漏洞预警,网络安全,应用安全,数据泄露,恶意软件

Grafana 多个严重漏洞可用于实现 RCE

Abinaya Abinaya

代码卫士

2026年3月31日 18:05 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Grafana 12.4.2版本紧急修复了两个高危漏洞CVE-2026-27876和CVE-2026-27880，可分别导致攻击者实现远程代码执行（RCE）及发起拒绝服务（DoS）攻击。

建议使用 Grafana 进行数据可视化的系统管理员立即应用这些反向移植的补丁，以防系统遭受攻击。

其中CVE-2026-27876（CVSS评分9.1）更为严重，位于 Grafana 的 SQL 表达式功能中。该漏洞可导致攻击者直接向服务器的文件系统写入任意文件，可与其它攻击途径结合，实现完整的远程代码执行。Grafana Labs 确认，这一特定利用路径可被武器化，攻击者能够借此直接与底层主机服务器建立未经授权的 SSH 连接。要成功利用该漏洞，攻击者必须拥有 Viewer 或以上权限以执行数据源查询，且目标系统需已启用 sqlExpressions 功能开关。一旦满足这些严格的前置条件，攻击者便可以覆写 Sqlyze 驱动程序，或恶意篡改 AWS 数据源配置文件。

该漏洞由 Miggo Security 的研究员 Liad Eliyahu 负责任地披露，凸显了持续进行严格外部安全审计的必要性。

未授权 DoS 漏洞

第二个漏洞CVE-2026-27880（CVSS评分7.5），是一个高危级别的拒绝服务（DoS）漏洞，影响 OpenFeature 校验端点。由于这些端点无需身份验证，且不加限制地将用户输入直接加载至内存，攻击者可借此轻易压垮系统。攻击者可发送超大请求，瞬间导致 Grafana 实例崩溃，造成监控服务严重停摆。

Grafana Labs 强烈建议所有管理员立即升级至官方已修复版本：Grafana 12.4.2、12.3.6、12.2.8、12.1.10 及 11.6.14。依赖托管云服务的企业可放心使用，因为 Amazon Managed Grafana 和 Azure Managed Grafana 环境已在保密期内完成加固。这些快速发布的更新彰显了 Grafana 致力于为其企业版及开源版用户维护安全生态系统的承诺。对于无法立即升级的企业，完全关闭 sqlExpressions 功能开关可暂时消除 RCE 攻击面。在未打补丁的情况下，为主动防御 DoS 漏洞，管理员应将 Grafana 部署在高可用环境中，确保快速自动恢复。此外，部署 Nginx 或 Cloudflare 等可靠的反向代理，严格限制输入请求的负载大小，可有效阻断内存耗尽这一攻击路径。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Grafana SCIM 中存在严重漏洞，可导致身份冒充或提权

速修复！Grafana 修复中存在四个严重的RCE漏洞

超4.6万个 Grafana 实例易受账户接管漏洞影响

Grafana 紧急提前修复已被公开的XSS 0day漏洞

Grafana 提醒注意严重的认证绕过漏洞

原文链接

https://cybersecuritynews.com/grafana-vulnerabilities-rce/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Abinaya Abinaya《Grafana 多个严重漏洞可用于实现 RCE》