CRITICAL🇬🇧 English

CVE-2026-28381

Nieautoryzowany odczyt/zapis plików przez Snowflake datasource w Grafana

CVSS 9.6v3.1pub. 2026-06-22upd. 2026-06-30

Podatność w integracji Grafana ze Snowflake umożliwia każdemu uwierzytelnionemu użytkownikowi mającemu dostęp do wykonywania zapytań na tym źródle danych odczytywanie i zapisywanie plików na lokalnym serwerze Grafana. Stanowi to poważne zagrożenie dla integralności i poufności danych systemowych.

Pokaż oryginał (EN)

The Snowflake datasource allows for GET/PUT commands, which can allow any user with access to run queries against the data source to read/write files between the local grafana server and the connected Snowflake host.

🤖 Analiza AI
Jak działa

Snowflake datasource w Grafana obsługuje polecenia GET i PUT, które służą do transferu plików między lokalnym serwerem a hostem Snowflake. Mechanizm ten nie jest odpowiednio ograniczony pod kątem uprawnień — każdy użytkownik posiadający dostęp do uruchamiania zapytań na tym źródle danych może wykorzystać te polecenia do odczytu lub zapisu dowolnych plików dostępnych dla procesu Grafana na serwerze lokalnym. Brak właściwej kontroli dostępu (CWE-284) sprawia, że operacje na plikach wykraczają poza zamierzony zakres uprawnień użytkownika.

Skutki

Atakujący może odczytywać potencjalnie wrażliwe pliki z lokalnego serwera Grafana (np. pliki konfiguracyjne, dane uwierzytelniające) oraz zapisywać na nim własne pliki, co może prowadzić do eskalacji uprawnień lub dalszego naruszenia infrastruktury. Wysoki wpływ na poufność (C:H) i integralność (I:H) przy przełamaniu zakresu (S:C) czyni tę podatność krytyczną.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://grafana.com/security/security-advisories/cve-2026-28381). Do czasu aktualizacji zaleca się ograniczenie dostępu do Snowflake datasource wyłącznie do zaufanych i niezbędnych użytkowników oraz monitorowanie aktywności zapytań pod kątem użycia poleceń GET/PUT.

Kogo dotyczy

Instalacje Grafana korzystające ze Snowflake datasource, w których użytkownicy mają uprawnienia do wykonywania zapytań na tym źródle danych. Szczegółowe wersje wskazane w referencjach producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
  • Grafana Snowflake

    APP
    Grafana
    1.14.7 – 1.14.12
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2021-39226CRITICAL9.8⚠ KEVten sam vendor

Grafana is an open source data visualization platform. In affected versions unauthenticated and authenticated ...

CVE-2025-41118CRITICAL9.1PL ✓ten sam vendor

Grafana Pyroscope: ujawnienie klucza sekretnego Tencent COS przez API

CVE-2026-27876CRITICAL9.1PL ✓ten sam vendor

RCE w Grafana przez SQL Expressions i plugin Enterprise (CVE-2026-27876)

CVE-2025-41115CRITICAL10.0PL ✓ten sam vendor

Grafana Enterprise: privilege escalation przez SCIM provisioning (LPE)

CVE-2024-9264CRITICAL9.4PL ✓ten sam vendor

Grafana: command injection i local file inclusion przez SQL Expressions (duckdb)

CVE-2026-28381 — Nieautoryzowany odczyt/zapis plików przez Snowflake datasource w Grafana — CRITICAL 9.6 | CVEbaza.pl