Critical Grafana Flaws Allow Attackers to Achieve Remote Code Execution
2026/03/30 gbhackers — Grafana Labs が公開したのは、広く利用されている分析/可視化のプラットフォーム Grafana に影響を及ぼす、2 件の深刻な脆弱性に対するセキュリティ・アップデートである。最も深刻な脆弱性 CVE-2026-27876 (CVSS:9.1) を悪用する攻撃者は、完全なリモートコード実行 (RCE) を達成し、ホスト・サーバへの SSH 接続の確立を可能にする。
この問題は、SQL 式に存在する任意ファイル書き込みに起因する。この機能は、SQL 構文でデータ変換を行うためのものだが、それを悪用する攻撃者に対して、ホスト上のファイル・システムへの任意のファイル書き込みが許されてしまう。さらに、複数の手法を組み合わせる攻撃者は、このファイル書き込みからリモートコード実行への侵害チェーンを確立できる。
なお、この脆弱性の悪用の前提として、攻撃者はデータソース・クエリを実行するための Viewer 権限以上を持ち、また、sqlExpressions 機能が有効化されている必要がある。これらの条件を満たす攻撃者は、Sqlyze ドライバの上書きや AWS データソース・コンフィグ・ファイルの改竄が可能となる。この攻撃チェーンにより、ホストへの SSH 接続が確立されることが確認されている。
この脆弱性は、Grafana 11.6.0 以降に影響するものである。管理者にとって必要なことは、速やかなパッチ適用による監視環境の保護である。迅速なアップデートが困難な場合には、暫定対策として sqlExpressions 機能の無効化が必要となる。また、AWS データソースの無効化と、Sqlyze ドライバの削除または 1.5.0 以上への更新も有効である。
2 つ目の深刻な脆弱性 CVE-2026-27880 (CVSS:7.5) は、Grafana 12.1.0 以降に影響を及ぼす。
この問題は、OpenFeature の feature flag 検証エンドポイントにおける認証欠如と無制限の入力受け入れに起因する。この入力内容が、アプリケーションによりメモリへ読み込まれるため、攻撃者が送信する大量データによりメモリが枯渇してしまう。
その結果として、アプリケーションはクラッシュし、持続的な Denial-of-Service (DoS) 状態に陥る。
対策として必要になるのは、Grafana 12.4.2/12.3.6/12.2.8/12.1.10/11.6.14 へのアップグレードである。一般的な DoS 対策として有効なのは、高可用性コンフィグでの運用/自動再起動の設定/Nginx や Cloudflare などのリバース・プロキシによる入力制限などである。
なお、Grafana Cloud/Amazon Managed Grafana/Azure Managed Grafana などのマネージド・サービスは、すでに修正済みである。
訳者後書:Grafana における 2 件の深刻な脆弱性について解説する記事です。この問題の原因は、SQL クエリを用いたデータ変換機能における不適切なファイル操作の許可と、新機能における認証チェックの欠如にあります。1 つ目の脆弱性 CVE-2026-27876 (CVSS 9.1) は、sqlExpressions という機能における欠陥により、ホスト上のファイル・システムに対して自由にファイルを書き込めてしまうという不備に起因します。それにより、特定のドライバ・ファイルの上書きや、コンフィグ・ファイルの改竄などが可能になってしまいます。
2 つ目の脆弱性 CVE-2026-27880 (CVSS 7.5) は、バージョン 12.1.0 以降に導入された OpenFeature 関連のエンドポイントに存在します。 認証の欠如および入力データに対するサイズ制限の欠如により、攻撃者が送信する大量データがサーバのメモリを枯渇させ、アプリケーション・クラッシュ (DoS) が引き起こされるというものです。ご利用のチームは、ご注意ください。よろしければ、Grafana での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.