目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-33378— Grafana OSS 安全漏洞

CVSS 6.5 · Medium EPSS 0.33% · P25

Affected Version Matrix 10

ベンダープロダクトVersion Rangeステータス
GrafanaGrafana OSS8.0.0≤ 11.6.14affected
11.6.14< 11.6.14+security-04affected
12.0.0≤ 12.2.8affected
12.2.8< 12.2.8+security-04affected
12.3.0≤ 12.3.6affected
12.3.6< 12.3.6+security-04affected
12.4.0≤ 12.4.3affected
12.4.3< 12.4.3+security-02affected
… +2 more rows
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-33378の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Grafana Data Source Plugin: DoS (OOM) via Negative Interval Injection in $__timeGroup Macro
ソース: NVD (National Vulnerability Database)
脆弱性説明
Using the $__timeGroup macro, one can achieve an OOM by overloading the server. This requires a SQL datasource. If the server is set up to auto-restart, the impact is minimal or non-existent, as the attack can take upwards of half an hour to crash the server.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Grafana OSS 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Grafana OSS是Grafana开源的一个可视化仪表盘。 Grafana OSS存在安全漏洞,该漏洞源于使用$__timeGroup宏可能导致服务器过载,引发OOM问题。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
GrafanaGrafana OSS 8.0.0 ~ 11.6.14 -

II. CVE-2026-33378の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-33378のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-33378 厂商安全公告 (1)

Same Patch Batch · Grafana · 2026-05-13 · 10 CVEs total

CVE-2026-333767.4 HIGHAuth Proxy IPv6 whitelist bypass
CVE-2026-333777.1 HIGHDashboard Import Overwrites ACL — Editor Privilege Escalation to Dashboard Admin
CVE-2026-283796.5 MEDIUMViewer-triggered race condition in Grafana Live leads to complete server crash
CVE-2026-283806.5 MEDIUMBAC in Snapshot API allows deletion of unauthorized dashboard snapshots
CVE-2026-283836.5 MEDIUMGrafana plugin resources can lead to unbounded memory allocation
CVE-2026-283766.5 MEDIUMGrafana Live push endpoint allows unbounded memory allocation leading to OOM
CVE-2026-333806.3 MEDIUMSQL Expressions Read File From Disk
CVE-2026-333815.9 MEDIUMUsers can generate Service Account tokens after permissions removal
CVE-2026-283744.3 MEDIUMIDOR in Annotations API allows unprivileged users to DELETE annotation

IV. 関連脆弱性

V. CVE-2026-33378へのコメント

まだコメントはありません


コメントを残す