製品・ソフトウェアに関する情報

JVN脆弱性詳細

Grafana LabsのGrafanaにおける重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性

タイトル	Grafana LabsのGrafanaにおける重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
概要	Grafanaの相関機能において、レガシー相関レコードに影響を及ぼすクロステナント分離の脆弱性が発見されました。組織間でorg_id = 0のレコードが返される後方互換性の条件により、データソース管理権限を持つユーザーが他の組織に属するレガシー相関データを読み取り、恒久的に削除することが可能でした。この問題はGrafana 10.2以前に作成された相関に影響を与え、バージョン=11.6.11、=12.0.9、=12.1.6、および=12.2.4で修正されています。なお、この脆弱性はGyu-hyeok Lee (g2h)氏によって報告されました。
想定される影響	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月15日0:00
登録日	2026年4月21日10:51
最終更新日	2026年4月21日10:51

影響を受けるシステム

Grafana Labs

Grafana 11.6.11 未満

Grafana 12.0.0 以上 12.0.9 未満

Grafana 12.1.0 以上 12.1.6 未満

Grafana 12.2.0 以上 12.2.4 未満

Grafana 12.3.0 以上 12.3.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-21727	https://www.cve.org/CVERecord?id=CVE-2026-21727
National Vulnerability Database (NVD)
2	CVE-2026-21727	https://nvd.nist.gov/vuln/detail/CVE-2026-21727

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-732	https://cwe.mitre.org/data/definitions/732.html

ベンダー情報

No	名前	URL
Security Advisories
1	Cross-Tenant Legacy Correlation Disclosure and Deletion \| Grafana Labs	https://grafana.com/security/security-advisories/cve-2026-21727

変更履歴

No	変更内容	変更日
1	[2026年04月21日] 掲載	2026年4月21日10:51

NVD脆弱性情報

CVE-2026-21727

概要	--- title: Cross-Tenant Legacy Correlation Disclosure and Deletion draft: false hero: image: /static/img/heros/hero-legal2.svg content: "# Cross-Tenant Legacy Correlation Disclosure and Deletion" date: 2026-01-29 product: Grafana severity: Low cve: CVE-2026-21727 cvss_score: "3.3" cvss_vector: "CVSS:3.3/AV:N/AC:H/PR:H/UI:N/S:U/C:L/I:L/A:N" fixed_versions: - ">=11.6.11 >=12.0.9 >=12.1.6 >=12.2.4" --- A cross-tenant isolation vulnerability was found in Grafana’s Correlations feature affecting legacy correlation records. Due to a backward compatibility condition allowing org_id = 0 records to be returned across organizations, a user with datasource management privileges could read and permanently delete legacy correlation data belonging to another organization. This issue affects correlations created prior to Grafana 10.2 and is fixed in >=11.6.11, >=12.0.9, >=12.1.6, and >=12.2.4. Thanks to Gyu-hyeok Lee (g2h) for reporting this vulnerability.
公表日	2026年4月16日5:16
登録日	2026年4月17日4:11
最終更新日	2026年4月21日5:08

影響を受けるソフトウェアの構成