Katalog CVE

CVE-2026-28376

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 24 - wyżej niż 24% wszystkich znanych CVE

Streszczenie

Punkt końcowy push w Grafana Live może być wykorzystany do nieograniczonego przydzielania pamięci poprzez wysłanie dużego lub strumieniowego ciała żądania, co może prowadzić do warunków braku pamięci. Użytkownik z autoryzacją mający dostęp do API Grafana Live może wywołać ten problem.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości wystąpienia warunków braku pamięci, co może prowadzić do awarii systemu lub degradacji wydajności aplikacji. Atakujący z dostępem do API może wykorzystać tę podatność do destabilizacji usług.

Rekomendacja

Zaleca się ograniczenie rozmiaru przyjmowanych żądań w API Grafana Live oraz monitorowanie użycia pamięci, aby zapobiec potencjalnym atakom. Należy również rozważyć wprowadzenie limitów dla autoryzowanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

The Grafana Live push endpoint can be exploited to cause unbounded memory allocation by sending a large or streaming request body, potentially leading to out-of-memory conditions. An authenticated user with access to the Grafana Live API can trigger this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS