概要
Grafana Labsは2026年3月25日、深刻度CriticalのCVE-2026-27876とHighのCVE-2026-27880を修正したセキュリティアップデートをリリースした。対象となる修正済みバージョンはGrafana 11.6.14、12.1.10、12.2.8、12.3.6、12.4.2で、これらのいずれかへの速やかなアップグレードが強く推奨されている。Grafana Cloud、Amazon Managed Grafana、Azure Managed Grafanaについてはすでにパッチ適用済みとなっている。
CVE-2026-27876:SQL ExpressionsによるRCE(Critical / CVSS 9.1)
CVE-2026-27876はGrafanaのSQL Expressions機能(sqlExpressionsフィーチャートグル)に存在する任意ファイル書き込みの脆弱性であり、最終的にリモートコード実行(RCE)へとエスカレートする可能性がある。攻撃者はSqlyzeドライバーの上書きやAWSデータソースの設定ファイルの細工といった複数の攻撃ベクトルを連鎖させることで、ホストへのSSHアクセスを取得できる。バグバウンティプログラム経由の責任ある開示によって発見された。
悪用には2つの条件が同時に満たされる必要がある。1つはGrafanaインスタンスでsqlExpressionsフィーチャートグルが有効化されていること、もう1つは攻撃者がViewer権限以上を持っていることだ。ネットワーク経由・認証あり・ユーザーインタラクション不要という攻撃特性のため、権限を持つ内部ユーザーや侵害されたアカウントからの悪用リスクが高い。影響を受けるバージョンはGrafana 11.6.0〜11.6.13、12.0.0〜12.4.1(各系列の最終パッチバージョン未満)である。
CVE-2026-27880:OpenFeature経由の認証なしDoS(High / CVSS 7.5)
CVE-2026-27880はGrafanaのOpenFeatureフィーチャーフラグ検証エンドポイントに存在する認証バイパスの脆弱性で、Grafana Labsのセキュリティチームが内部で発見した。エンドポイントが認証を要求せず無制限のユーザー入力を受け付けるため、攻撃者が大量の巨大ペイロードを送信することでサーバーのメモリを急速に枯渇させ、アプリケーションをクラッシュさせて持続的なDoS状態を引き起こすことができる。影響を受けるのはGrafana 12.1.0以降である。
対応と緩和策
即時のアップグレードが困難な場合、CVE-2026-27876に対する暫定的な緩和策としてsqlExpressionsフィーチャートグルの無効化が有効である。加えて、GrafanaへのネットワークアクセスおよびViewer権限の付与を最小限に制限すること、ログ監視とネットワークアクティビティの継続的な監視が推奨される。現時点でEPSSスコアは0.00105と低く、CISAのKEVリストへの掲載もないが、CriticalのCVSSスコアを持つRCE脆弱性であることから、可能な限り早期のパッチ適用が不可欠だ。