Direkt zum Inhalt
Sie haben noch keinen Account? Jetzt registrieren
  • umfangreiche Warnmeldungen
  • zusätzliche Funktionen
  • persönliche Benachrichtigungen
Die Landesbehörde für Cybersicherheit in Baden-Württemberg

Opfer eines Cyberangriffes geworden?

0711-137-99999 cyberersthilfe(a)cybersicherheit.bwl.de Kontaktieren Sie uns

Grafana: kritische Schwachstelle geschlossen

- Sicherheitshinweis

In Grafana wurden zwei Sicherheitslücken geschlossen, darunter eine kritische. Diese kann genutzt werden, um Schadcode einzuschleusen und auszuführen. User sollten die verfügbaren Updates rasch einspielen, um Schaden vorzubeugen.
Logo des Unternehmens Grafana Labs

© Timon - stock.adobe.com

RCE-Angriff ausführbar

Über die kritische Schwachstelle CVE-2026-27876 (EUVD-2026-16634) können Angreifende über die SQL-Expressions-Funktion beliebigen (Schad-)Code einschleusen und ausführen (RCE: Remote Code Execution). Möglich ist dies allerdings nur, wenn die Option sqlExpressions aktiviert ist. Betroffen sind alle Grafana-Versionen ab 11.6.0 bis vor die unten angegebenen Versionen. Der CVSS-Base-Score liegt bei 9.1/10.

Durch Ausnutzung der anderen Sicherheitslücke können Cyber-Akteure einen Server-Absturz provozieren (DoS: Denial of Service). Betroffen sind alle Grafana-Versionen ab 12.1.0 bis vor die unten angegebenen Versionen. Diese Lücke hat die Kennung CVE-2026-27880 (EUVD-2026-16598) mit einem CVSS-Base-Score von 7.5/10.

Dies berichten Grafana und verschiedene Medien.

Grafana ist eine Open-Source-Plattform, um Daten zu analysieren und darzustellen.

Empfehlungen

Aktualisieren Sie Grafana je nach Konfiguration auf eine der folgenden Versionen:

  • 12.4.2
  • 12.3.6
  • 12.2.8
  • 12.1.10
  • 11.6.14

Wenn Sie Grafana nicht aktualisieren können, beachten Sie die vorgeschlagenen Mitigationsmaßnahmen (siehe Links unten).

Weitere Informationen