CVE-2026-28376
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
Punkt końcowy push w Grafana Live może być wykorzystany do nieograniczonego przydzielania pamięci poprzez wysłanie dużego lub strumieniowego ciała żądania, co może prowadzić do warunków braku pamięci. Użytkownik z autoryzacją mający dostęp do API Grafana Live może wywołać ten problem.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości wystąpienia warunków braku pamięci, co może prowadzić do awarii systemu lub degradacji wydajności aplikacji. Atakujący z dostępem do API może wykorzystać tę podatność do destabilizacji usług.
Rekomendacja
Zaleca się ograniczenie rozmiaru przyjmowanych żądań w API Grafana Live oraz monitorowanie użycia pamięci, aby zapobiec potencjalnym atakom. Należy również rozważyć wprowadzenie limitów dla autoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
The Grafana Live push endpoint can be exploited to cause unbounded memory allocation by sending a large or streaming request body, potentially leading to out-of-memory conditions. An authenticated user with access to the Grafana Live API can trigger this issue.

