Vulnerability Details CVE-2026-33380
A vulnerability in SQL Expressions allows an authenticated attacker to read arbitrary files from the Grafana server's filesystem. Only instances with the sqlExpressions feature toggle enabled are vulnerable.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.003
EPSS Ranking 17.3%
CVSS Severity
CVSS v3 Score 6.3
Products affected by CVE-2026-33380
-
cpe:2.3:a:grafana:grafana:11.6.0
-
cpe:2.3:a:grafana:grafana:11.6.1
-
cpe:2.3:a:grafana:grafana:11.6.10
-
cpe:2.3:a:grafana:grafana:11.6.11
-
cpe:2.3:a:grafana:grafana:11.6.12
-
cpe:2.3:a:grafana:grafana:11.6.13
-
cpe:2.3:a:grafana:grafana:11.6.2
-
cpe:2.3:a:grafana:grafana:11.6.3
-
cpe:2.3:a:grafana:grafana:11.6.4
-
cpe:2.3:a:grafana:grafana:11.6.5
-
cpe:2.3:a:grafana:grafana:11.6.6
-
cpe:2.3:a:grafana:grafana:11.6.7
-
cpe:2.3:a:grafana:grafana:11.6.8
-
cpe:2.3:a:grafana:grafana:11.6.9
-
cpe:2.3:a:grafana:grafana:12.2.0
-
cpe:2.3:a:grafana:grafana:12.2.1
-
cpe:2.3:a:grafana:grafana:12.2.2
-
cpe:2.3:a:grafana:grafana:12.2.3
-
cpe:2.3:a:grafana:grafana:12.2.4
-
cpe:2.3:a:grafana:grafana:12.2.5
-
cpe:2.3:a:grafana:grafana:12.2.6
-
cpe:2.3:a:grafana:grafana:12.2.7
-
cpe:2.3:a:grafana:grafana:12.3.0
-
cpe:2.3:a:grafana:grafana:12.3.1
-
cpe:2.3:a:grafana:grafana:12.3.2
-
cpe:2.3:a:grafana:grafana:12.3.3
-
cpe:2.3:a:grafana:grafana:12.3.4
-
cpe:2.3:a:grafana:grafana:12.3.5
-
cpe:2.3:a:grafana:grafana:12.4.0
-
cpe:2.3:a:grafana:grafana:12.4.1
-
cpe:2.3:a:grafana:grafana:12.4.2
-
cpe:2.3:a:grafana:grafana:13.0.0