Grafana の脆弱性 CVE-2025-3260/2703/3454 が FIX:ダッシュボード権限バイパスなどの恐れ

Grafana Patches CVE-2025-3260 and More in Critical Security Update

2025/04/24 SecurityOnline — Grafana Labs が公表したのは、複数の製品バージョンにまたがる、セキュリティ・アップデートのリリースである。このアップデートでは、Grafana OSS/Enterprise エディションに影響を及ぼす、深刻度が High 脆弱性1件と、Medium の脆弱性2件が修正されている。最も深刻な脆弱性 CVE-2025-3260 (CVSS:8.3:High) に関しては、最小権限のユーザーであっても、それを悪用することで、ダッシュボードに対する不正なアクセスや変更の機会を得るという。

CVE-2025-3260 (CVSS:8.3)
ダッシュボード権限バイパス

この脆弱性は、Grafana 11.6.x で混入したものであり、”/apis/dashboard.grafana.app/*” エンドポイントに影響を及ぼし、Viewer/Editor ロールを持つユーザーに対して、組織内のダッシュボード・レベル権限のオーバーライドを許してしまう。

  • Viewer は、割り当てられたアクセス権に関係なく、すべてのダッシュボードにアクセスできる。
  • Editor は、同じ組織内の、すべてのダッシュボードを表示/編集/削除できる。
  • この脆弱性は、Viewer/Editor のロールがコンフィグされている、匿名ユーザーにも影響を及ぼす。

つまり、匿名ユーザーであっても、設定されたロールに応じて、すべてのダッシュボードを表示/変更できる。組織の境界は維持されるが、匿名認証を使用しているインスタンスは、特に脆弱であるとアドバイザリで警告されている。

CVE-2025-2703 (CVSS:6.8)
XY Chart Plugin における DOM XSS

Grafana にビルトインされる XY Chart Plugin に、Medium レベルの DOM ベース・クロスサイト・スクリプティング (XSS) が発見された。この脆弱性は、外部の研究者により発見/報告されたものだ。具体的に言うと、Editor または general.writer RBAC 権限を持つユーザーが、XY Chart Plugin に悪意のコードを挿入すると、任意の JavaScript 実行の危険性が生じる。

Grafana Labs の指摘は、既存の Content Security Policy (CSP) では、この脆弱性を防げないというものだ。したがって、Trusted Types の有効化による、DOM ベース XSS ベクターの軽減が推奨される。

CVE-2025-3454 (CVSS:5.0)

この3つ目の脆弱性は、Grafana のデータソース・プロキシ API で発見されたものだ。この脆弱性により、以下の問題が引き起こされる。

  • API パスにスラッシュ “/” を追加することで、Prometheus/Alertmanager データソースへの、不正な読み取りアクセスが可能になる。
  • この問題は、Grafana 8.0 以降に存在するものであり、基本認証とルート固有の権限を用いる、データソース内への読み取り専用パスに影響を及ぼす。

Grafana チームは、「割り当てられたロールと権限に無関係に、GET エンド・ポイントへの不正な読み取りアクセスが生じる可能性がある」と警告している。

影響を受けるバージョンとパッチ

これらの脆弱性は、以下のバージョンに影響を及ぼす:

  • CVE-2025-3260:Grafana 11.6.0 以上
  • CVE-2025-2703:Grafana 11.1.0 以上
  • CVE-2025-3454:Grafana 8.0 以上

以下のリリースで、パッチが提供されている:

緩和策

速やかなパッチ適用が不可能な場合には、以下の暫定的な緩和策が推奨される。

CVE-2025-3260:以下のアドレスへむけた受信トラフィックをブロックする:

  • /apis/dashboard.grafana.app/v0alpha1
  • /apis/dashboard.grafana.app/v1alpha1
  • /apis/dashboard.grafana.app/v2alpha1

CVE-2025-2703 :Trusted Types の有効による、厳格な DOM 操作ポリシーを適用。

CVE-2025-3454:リバース・プロキシを用いた、受信 URL を正規化およびサニタイズ。

Grafana Labs が、すべてのユーザーと組織に対して強く推奨するのは、速やかなアップデートである。現時点において、上記の Grafana OSS または Grafana Enterprise を利用している場合には、適切なセキュリティ・リリースへとアップデートすることで、すべての脆弱性に対処できる。

Grafana の複数の脆弱性が FIX とのことです。なかでも CVE-2025-3454 (CVSS:5.0) は、API パスにスラッシュを追加するだけで認証を迂回するというものであり、ごく単純な仕組みのほころびが、深刻な問題へと発展することを物語っていると感じます。ご利用のチームは、パッチの適用および緩和策の実施を、ご検討下さい。よろしければ、以下の関連記事も、Grafana で検索と併せて、ご参照ください。

2025/03/13:Grafana 脆弱性を悪用?大規模 SSRF キャンペーン
2024/10/28:Grafana の脆弱性 CVE-2024-9264:PoC が公開
2024/10/18:Grafana の RCE 脆弱性 CVE-2024-9264 が FIX