CVE-2026-33378 CVSS 6.5 中危

CVE-2026-33378 Grafana $__timeGroup宏OOM漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33378

漏洞类型

拒绝服务

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Grafana

漏洞概述

CVE-2026-33378 是 Grafana 中发现的一个拒绝服务漏洞。攻击者利用 $__timeGroup 宏针对配置了 SQL 数据源的 Grafana 服务器发起攻击，通过构造特定的查询请求导致服务器资源耗尽（OOM），进而引发服务崩溃。尽管攻击过程可能耗时较长（约半小时），但在未配置自动重启的环境中，该漏洞仍可能导致服务不可用，严重影响系统可用性。

技术细节

该漏洞源于 Grafana 查询引擎处理 $__timeGroup 宏时的逻辑缺陷。当 Grafana 连接到 SQL 数据源（如 MySQL、PostgreSQL）并使用该宏进行时间序列分组查询时，攻击者能够构造特定的查询参数，导致后端数据库或 Grafana 服务器在处理过程中消耗过量的内存资源。由于攻击者仅需低权限即可触发此漏洞（PR:L），且无需用户交互（UI:N），因此具有相对较低的利用门槛。虽然攻击需要较长时间才能耗尽内存并导致 OOM 崩溃，但这属于典型的资源耗尽型攻击。如果服务器未配置自动重启机制，长时间的内存占用将最终导致服务进程终止。

攻击链分析

STEP 1

1. 获取访问权限

攻击者获取 Grafana 的低权限用户账户。

STEP 2

2. 构造恶意查询

攻击者创建或修改面板，利用 SQL 数据源和 $__timeGroup 宏构造能够消耗大量内存的查询语句。

STEP 3

3. 发起请求

向 Grafana 服务器发送包含恶意查询的请求。

STEP 4

4. 资源耗尽

服务器处理查询，内存占用逐渐上升，最终导致 OOM（Out of Memory）。

STEP 5

5. 服务崩溃

Grafana 服务进程被系统终止，导致拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

-- Conceptual PoC demonstrating the usage of $__timeGroup
-- Attackers craft queries with specific intervals to trigger OOM

SELECT
  $__timeGroup(time, '1ms') as time,
  count(*) as value
FROM your_table
WHERE $__timeFilter(time)
GROUP BY time
ORDER BY time

影响范围

Grafana (具体版本请参考官方安全公告)

防御指南

临时缓解措施

在安装补丁之前，建议管理员限制对包含 $__timeGroup 宏的面板的编辑权限，仅允许受信任用户访问。同时，配置操作系统或容器级别的内存限制和自动重启策略，以便在服务崩溃时能够快速恢复，减少业务中断时间。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表