Grafana ha publicado actualizaciones urgentes para la versión 12.4.2 que corrigen dos vulnerabilidades críticas, una que permite ejecución remota de código (RCE) y otra que facilita ataques de denegación de servicio (DoS). La falla RCE afecta la funcionalidad de expresiones SQL y requiere permisos específicos y configuración activa para su explotación. Se recomienda actualizar inmediatamente para evitar compromisos del sistema y caídas operativas.
CVE y severidad
| CVE | CVSS | Severidad | Componente afectado |
|---|---|---|---|
| CVE-2026-27876 | 9.1 | Crítica | Funcionalidad sqlExpressions (expresiones SQL) |
| CVE-2026-27880 | 7.5 | Alta | Puntos de validación OpenFeature |
Productos afectados
| Fabricante | Producto | Versiones afectadas |
|---|---|---|
| Grafana Labs | Grafana | Anteriores a 11.6.14, 12.1.10, 12.2.8, 12.3.6, 12.4.2 |
Solución
Actualizar a Grafana versión 12.4.2 o a cualquiera de las versiones parcheadas oficiales: 12.3.6, 12.2.8, 12.1.10 o 11.6.14.
Recomendaciones
Priorizar la actualización inmediata del sistema y verificar la desactivación temporal de la función sqlExpressions para mitigar la vulnerabilidad RCE si la actualización no es posible de inmediato; además, implementar entornos altamente disponibles y limitar el tamaño de las cargas útiles mediante proxies inversos para minimizar el impacto del DoS.
Workarounds
Desactivar completamente el toggle sqlExpressions elimina temporalmente la superficie de ataque para la vulnerabilidad RCE; para DoS, usar balanceo de carga o proxy inverso como Nginx o Cloudflare para limitar el tamaño de solicitudes.
Referencias
- https://cybersecuritynews.com/grafana-vulnerabilities-rce/
- NVD – CVE-2026-27876
- MITRE – CVE-2026-27876
- NVD – CVE-2026-27880
- MITRE – CVE-2026-27880
- https://grafana.com/blog/grafana-security-release-critical-and-high-severity-security-fixes-for-cve-2026-27876-and-cve-2026-27880/
- https://www.tenable.com/cve/CVE-2026-27880