CVE-2026-42129
WysokieCVSS 7.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 - wyżej niż 32% wszystkich znanych CVE
Streszczenie
Podatność w wtyczce źródła danych Loki umożliwia użytkownikowi z uprawnieniami przeglądania (Viewer) wykorzystanie przejścia ścieżki (path traversal) do uzyskania dostępu do administracyjnych punktów końcowych Loki. Pozwala to na odczyt wrażliwej konfiguracji backendu oraz wewnętrznych informacji o usługach.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych danych konfiguracyjnych i informacji o infrastrukturze, co może ułatwić dalsze ataki na systemy monitorowane przez Loki.
Rekomendacja
Należy natychmiast zaktualizować wtyczkę źródła danych Loki do najnowszej wersji łatającej tę podatność. Do czasu aktualizacji ogranicz dostęp do panelu Grafana tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
A user with Viewer permissions can use a path traversal in the Loki data source plugin to reach administrative Loki endpoints and read sensitive backend configuration and internal service information.

