CVE-2026-28379
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 - wyżej niż 17% wszystkich znanych CVE
Streszczenie
W Grafana Live występuje warunkowa rywalizacja, która pozwala uwierzytelnionym użytkownikom z rolą Viewer na wywołanie awarii serwera poprzez wysyłanie równoczesnych żądań, co prowadzi do krytycznego błędu dostępu do mapy. Skutkuje to całkowitą niedostępnością usługi, wymagającą ponownego uruchomienia serwera Grafana.
Ocena ryzyka
Organizacja może doświadczyć przestojów w działaniu usługi Grafana, co wpływa na dostępność danych i może prowadzić do utraty zaufania użytkowników. W przypadku ataku, użytkownicy mogą być w stanie zablokować serwis, co wymaga interwencji administracyjnej.
Rekomendacja
Zaleca się ograniczenie dostępu do roli Viewer oraz monitorowanie i ograniczanie liczby równoczesnych żądań do serwera. Należy również rozważyć aktualizację do najnowszej wersji Grafana, aby zminimalizować ryzyko wystąpienia tej podatności.
Oryginalny opis (angielski, źródło NVD)
A race condition in Grafana Live allows authenticated users with Viewer role to trigger a server crash by sending concurrent requests that cause a fatal map access error. This results in complete service unavailability requiring restart of the Grafana server.

