【活用ガイド】

JVNDB-2026-021786

Grafana LabsのGrafana Operatorにおけるパストラバーサルの脆弱性

概要

Grafana Operatorのバージョン5.24.0をリリースしました。このパッチには、Grafana Operatorにおけるパストラバーサルおよび権限昇格の脆弱性に対する重大なセキュリティ修正が含まれています。### 概要 Grafana Operatorは、jsonnetデータテンプレート言語を使用してダッシュボードおよびライブラリパネルの読み込みをサポートしています。jsonnet式はOperatorマネージャーポッドのコンテキスト内で評価されます。### 影響 悪意のあるユーザーがGrafanaインスタンスのDashboardまたはLibraryPanelリソースを作成できる場合、Grafana OperatorマネージャーのKubernetesサービスアカウントトークンを取得する可能性があります。### 影響を受けるバージョン すべてのGrafana Operatorバージョン5.23以下が影響を受けます。### 解決策および緩和策 すべての環境においてできるだけ早急にアップグレードを行ってください。回避策として、以下のValidatingAdmissionPolicyを使用してjsonnetベースのリソースの作成や変更を防止できます。 apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingAdmissionPolicy metadata: name: "prevent-jsonnet-dashboards" spec: failurePolicy: Fail matchConstraints: resourceRules: - apiGroups: ["grafana.integreatly.org"] apiVersions: ["v1beta1"] operations: ["CREATE", "UPDATE"] resources: ["grafanadashboards", "grafanalibrarypanels"] validations: - expression: "!has(object.spec.jsonnetLib)" --- apiVersion: admissionregistration.k8s.io/v1 kind: ValidatingAdmissionPolicyBinding metadata: name: "prevent-jsonnet-dashboards-clusterwide" spec: policyName: "prevent-jsonnet-dashboards" validationActions: [Deny] ### 謝辞 Artem Cherezov様には、脆弱性を責任を持って報告していただき感謝いたします。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 8.8 (重要) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 低
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


Grafana Labs
  • Grafana Operator 5.24.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響

・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
・当該ソフトウェアが完全に停止する可能性があります。
対策

ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報

Grafana Labs
CWEによる脆弱性タイプ一覧  CWEとは?

  1. パス・トラバーサル(CWE-22) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2026-11769
参考情報

  1. National Vulnerability Database (NVD) : CVE-2026-11769
更新履歴

  • [2026年07月01日]
      掲載