製品・ソフトウェアに関する情報
Vulnerability Search
Grafana LabsのGrafanaにおける重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
Title Grafana LabsのGrafanaにおける重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
Summary

Grafanaの相関機能において、レガシー相関レコードに影響を及ぼすクロステナント分離の脆弱性が発見されました。組織間でorg_id = 0のレコードが返される後方互換性の条件により、データソース管理権限を持つユーザーが他の組織に属するレガシー相関データを読み取り、恒久的に削除することが可能でした。この問題はGrafana 10.2以前に作成された相関に影響を与え、バージョン=11.6.11、=12.0.9、=12.1.6、および=12.2.4で修正されています。なお、この脆弱性はGyu-hyeok Lee (g2h)氏によって報告されました。

Possible impacts 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 15, 2026, midnight
Registration Date April 21, 2026, 10:51 a.m.
Last Update April 21, 2026, 10:51 a.m.
CVSS3.0 : 低
Score 3.3
Vector CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N
Affected System
Grafana Labs
Grafana 11.6.11 未満
Grafana 12.0.0 以上 12.0.9 未満
Grafana 12.1.0 以上 12.1.6 未満
Grafana 12.2.0 以上 12.2.4 未満
Grafana 12.3.0 以上 12.3.3 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年04月21日]
  掲載		 April 21, 2026, 10:51 a.m.
NVD Vulnerability Information
CVE-2026-21727
Summary

---
title: Cross-Tenant Legacy Correlation Disclosure and Deletion
draft: false
hero:
image: /static/img/heros/hero-legal2.svg
content: "# Cross-Tenant Legacy Correlation Disclosure and Deletion"
date: 2026-01-29
product: Grafana
severity: Low
cve: CVE-2026-21727
cvss_score: "3.3"
cvss_vector: "CVSS:3.3/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N"
fixed_versions:
- ">=11.6.11 >=12.0.9 >=12.1.6 >=12.2.4"
---
A cross-tenant isolation vulnerability was found in Grafana’s Correlations feature affecting legacy correlation records. Due to a backward compatibility condition allowing org_id = 0 records to be returned across organizations, a user with datasource management privileges could read and permanently delete legacy correlation data belonging to another organization. This issue affects correlations created prior to Grafana 10.2 and is fixed in >=11.6.11, >=12.0.9, >=12.1.6, and >=12.2.4.

Thanks to Gyu-hyeok Lee (g2h) for reporting this vulnerability.

Publication Date April 16, 2026, 5:16 a.m.
Registration Date April 17, 2026, 4:11 a.m.
Last Update April 21, 2026, 5:08 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* 11.6.11
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* 12.0.0 12.0.9
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* 12.1.0 12.1.6
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* 12.2.0 12.2.4
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:* 12.3.0 12.3.3
Related information, measures and tools
Common Vulnerabilities List