CVE-2026-9029
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 18 - wyżej niż 18% wszystkich znanych CVE
Streszczenie
Podatność w panelu Geomap w Grafanie umożliwia użytkownikowi z uprawnieniami edytora wstrzyknięcie złośliwego skryptu do pola atrybucji warstwy kafelków XYZ za pomocą zmiennej szablonu. Skrypt wykonuje się w przeglądarce każdego użytkownika przeglądającego zmodyfikowany dashboard (trwałe cross-site scripting).
Ocena ryzyka
Atakujący może przejąć sesje innych użytkowników, wykraść dane uwierzytelniające lub rozprzestrzenić złośliwe oprogramowanie w organizacji, co prowadzi do naruszenia poufności i integralności danych.
Rekomendacja
Należy natychmiast zaktualizować Grafanę do wersji łatającej tę podatność oraz ograniczyć uprawnienia edytora tylko do zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
A user with Editor permissions can place a malicious script in the attribution field of a Geomap panel's XYZ tile layer via a template variable. The script then executes in the browser of any user who views the affected dashboard (stored cross-site scripting).

