Grafana Labsは、広く使用されている分析およびインタラクティブな可視化プラットフォームに影響を与える2つの重大な脆弱性に対処するための重大なセキュリティ更新をリリースしました。
最も深刻な脆弱性により、脅威行為者は完全なリモートコード実行(RCE)を達成し、ホストサーバーへのSSH接続を確立することができます。
管理者は、監視環境を保護するために、セキュリティパッチを直ちに適用することを強くお勧めします。
最も緊迫した脅威はCVE-2026-27876として追跡されており、これはCVSSスコア9.1の重大な脆弱性です。
Grafanaバージョン11.6.0以降に影響を与えるこの脆弱性は、GrafanaのSQL式機能内の任意のファイル書き込み脆弱性から発生しています。
この機能は通常、ユーザーが使い慣れたSQL構文を使用してクエリデータを変換できるようにします。
しかし、攻撃者はこの機能を悪用して、ホストのファイルシステムに直接任意のファイルを書き込むことができます。
複数の攻撃ベクトルを組み合わせることで、敵対者はこのファイル書き込みアクセスを完全なリモートコード実行にエスカレートさせることができます。
悪用にはデータソースクエリを実行するための少なくともViewer権限が必要であり、sqlExpressions機能トグルがターゲットインスタンスで有効になっていなければなりません。
これらの前提条件が満たされると、攻撃者はSqlyzeドライバを上書きするか、AWSデータソース構成ファイルを悪意で修正することができます。
Grafana研究者はこの攻撃チェーンが基盤となるホストインフラストラクチャへの直接的なリモートSSH接続をもたらすことができることを正常に確認しました。
2番目の脆弱性はCVE-2026-27880として追跡され、CVSSスコア7.5の高い重大度を持ち、Grafanaバージョン12.1.0以降に影響を与えます。
この欠陥はGrafanaのOpenFeature機能フラグ検証エンドポイントに関係しています。これらの特定のエンドポイントは認証を要求しない一方で、制限されていないユーザー入力を同時に受け入れます。
アプリケーションはこのフィルタリングされていない入力をメモリに直接読み込むため、認証されていないリモート攻撃者は意図的に大規模なデータペイロードでエンドポイントを洪水させることができます。
これにより、サーバーは利用可能なメモリを急速に枯渇させられ、アプリケーションの完全なクラッシュと継続的なサービス拒否(DoS)状態が発生します。
システムを効果的に保護するために、管理者はGrafanaバージョン12.4.2、12.3.6、12.2.8、12.1.10、または11.6.14の最新パッチ済みリリースにアップグレードする必要があります。
Grafana Cloud、Amazon Managed Grafana、Azure Managed Grafanaなどの管理サービスを使用している組織は、これらのプロバイダーが早期の禁止通知を受け取り、パッチを予防的に展開しているため、既に保護されています。
直ちにアップグレードできない場合、セキュリティチームは一時的な対処法を実装できます。
重大なRCE脆弱性については、管理者はsqlExpressions機能トグルを完全に無効にする必要があります。
あるいは、組織はインストール済みのすべてのAWSデータソースを無効にし、Sqlyzeドライバを完全に削除するか、バージョン1.5.0以上に更新するかのいずれかを実行する必要があります。
高い重大度のDoS脆弱性を軽減するために、チームはGrafanaを自動再起動用に構成された高可用性環境に展開するか、NginxまたはCloudflareなどのリバースプロキシの背後にアプリケーションを配置して、受信クライアントペイロードサイズを厳密に制限する必要があります。
翻訳元: https://gbhackers.com/critical-grafana-flaws/
