CVE-2026-27876

설명

A chained attack via SQL Expressions and a Grafana Enterprise plugin can lead to a remote arbitrary code execution impact (RCE). This is enabled by a feature in Grafana (OSS), so all users are always recommended to update to avoid future attack vectors going this path. Only instances with the sqlExpressions feature toggle enabled are vulnerable. Only instances in the following version ranges are affected: - 11.6.0 (inclusive) to 11.6.14 (exclusive): 11.6.14 has the fix. 11.5 and below are not affected. - 12.0.0 (inclusive) to 12.1.10 (exclusive): 12.1.10 has the fix. 12.0 did not receive an...

영향 제품·버전

공급사 Grafana

제품 Grafana, Red Hat Enterprise Linux 10, Red Hat Enterprise Linux 8

영향 버전 11.6.0, 12.0.0, 12.2.0, 12.3.0, 12.4.0, < 11.6.0, >= 11.6.14 < 12.0.0, >= 12.1.10 < 12.2.0, >= 12.2.8 < 12.3.0, >= 12.3.6 < 12.4.0

수정 버전 11.6.0, 12.0.0, 12.2.0, 12.3.0, 12.4.0

조치 방법

• 공급사가 제공한 최신 보안 업데이트 적용
• 자사 보유 제품과 영향 버전의 일치 여부 확인
• 외부 노출 서비스와 비정상 인증·접속 로그 점검
• 패치가 어려우면 공급사 완화조치와 접근통제 적용

기술 정보

CVSS 벡터 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

CWE CWE-89, CWE-94

EPSS 데이터 기준일 2026.06.27