Katalog CVE

CVE-2026-9029

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 18 - wyżej niż 18% wszystkich znanych CVE

Streszczenie

Podatność w panelu Geomap w Grafanie umożliwia użytkownikowi z uprawnieniami edytora wstrzyknięcie złośliwego skryptu do pola atrybucji warstwy kafelków XYZ za pomocą zmiennej szablonu. Skrypt wykonuje się w przeglądarce każdego użytkownika przeglądającego zmodyfikowany dashboard (trwałe cross-site scripting).

Ocena ryzyka

Atakujący może przejąć sesje innych użytkowników, wykraść dane uwierzytelniające lub rozprzestrzenić złośliwe oprogramowanie w organizacji, co prowadzi do naruszenia poufności i integralności danych.

Rekomendacja

Należy natychmiast zaktualizować Grafanę do wersji łatającej tę podatność oraz ograniczyć uprawnienia edytora tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A user with Editor permissions can place a malicious script in the attribution field of a Geomap panel's XYZ tile layer via a template variable. The script then executes in the browser of any user who views the affected dashboard (stored cross-site scripting).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS