製品・ソフトウェアに関する情報

JVN脆弱性詳細

Grafana LabsのGrafanaにおける外部からアクセス可能なファイルまたはディレクトリに関する脆弱性

Title	Grafana LabsのGrafanaにおける外部からアクセス可能なファイルまたはディレクトリに関する脆弱性
Summary	SQL Expressionsにおける脆弱性により、認証された攻撃者がGrafanaサーバーのファイルシステムから任意のファイルを読み取ることが可能です。この脆弱性は、sqlExpressions機能トグルが有効になっているインスタンスにのみ影響を及ぼします。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 13, 2026, midnight
Registration Date	June 17, 2026, 3:46 p.m.
Last Update	June 17, 2026, 3:46 p.m.

Affected System

Grafana Labs

Grafana 11.6.0 以上 11.6.14 未満

Grafana 12.2.0 以上 12.2.8 未満

Grafana 12.3.0 以上 12.3.6 未満

Grafana 12.4.0 以上 12.4.3 未満

Grafana 13.0.0 以上 13.0.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-33380	https://www.cve.org/CVERecord?id=CVE-2026-33380
National Vulnerability Database (NVD)
2	CVE-2026-33380	https://nvd.nist.gov/vuln/detail/CVE-2026-33380

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-552	https://cwe.mitre.org/data/definitions/552.html

ベンダー情報

No	Name	URL
Security Advisories
1	403: Forbidden	https://grafana.com/security/security-advisories/cve-2026-33380

Change Log

No	Changed Details	Date of change
1	[2026年06月17日] 掲載	June 17, 2026, 3:46 p.m.

NVD Vulnerability Information

CVE-2026-33380

Summary	A vulnerability in SQL Expressions allows an authenticated attacker to read arbitrary files from the Grafana server's filesystem. Only instances with the sqlExpressions feature toggle enabled are vulnerable.
Publication Date	May 14, 2026, 5:16 a.m.
Registration Date	May 15, 2026, 4:22 a.m.
Last Update	May 15, 2026, 1:21 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://grafana.com/security/security-advisories/cve-2026-33380	security@grafana.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-552	外部からアクセス可能なファイルまたはディレクトリ	https://cwe.mitre.org/data/definitions/552.html