Grafana において API にリクエストされた URI 文字列の検証不備により任意のファイルが読み取り可能となるディレクトリトラバーサルの脆弱性(Scan Tech Report) | ScanNetSecurity
2026.07.05(日)

Grafana において API にリクエストされた URI 文字列の検証不備により任意のファイルが読み取り可能となるディレクトリトラバーサルの脆弱性(Scan Tech Report)

脆弱性は 2021 年 12 月に、データ分析ソフトウェアである Grafana に、任意のファイルが閲覧可能となるディレクトリとラバーサルの脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
https://grafana.com/
https://grafana.com/ 全 1 枚 拡大写真

◆概要
 本脆弱性は 2021 年 12 月に、データ分析ソフトウェアである Grafana に、任意のファイルが閲覧可能となるディレクトリとラバーサルの脆弱性が報告されています。脆弱性を悪用されてしまった場合は、対象ホストに存在する認証情報や Grafana の暗号化された認証情報が取得され、その情報を足掛かりに攻撃者に侵入されてしまう可能性があります。ソフトウェアのアップデートにより対策してください。

◆分析者コメント
 当該脆弱性は、対象の Grafana への認証に成功していないユーザからも悪用可能であり、悪用が容易であるため、攻撃者に悪用される可能性が高いと考えられます。ソフトウェアの性質上、インターネット上に公開されている可能性が低いソフトウェアではありますが、当該ソフトウェアを利用している場合は脆弱性の影響を受けるかを確認して対策するとともに、アクセス制御設定を見直すことを推奨します。

◆深刻度(CVSS)
7.5
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2021-43798&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N&version=3.1&source=GitHub,%20Inc.

◆影響を受けるソフトウェア
 以下のバージョンの Grafana が、当該脆弱性の影響を受けると報告されています。

+ 8.0.0:
- beta1
- beta2
- beta3
+ 8.0.1 以上、8.0.7 未満
+ 8.1.0 以上、8.1.8 未満
+ 8.2.0 以上、8.2.7 未満
+ 8.3.0

◆解説
 オープンソースのデータ分析基盤ソフトウェアである Grafana に、未認証の利用者から悪用可能な、ディレクトリトラバーサルの脆弱性が報告されています。


《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  2. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  3. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  4. アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

    アフラック生命保険に不正アクセス、約438万人の顧客情報が漏えい

  5. リコー製 Web Image Monitor を実装している複数のレーザープリンタおよび複合機(MFP)にオープンリダイレクトの脆弱性

    リコー製 Web Image Monitor を実装している複数のレーザープリンタおよび複合機(MFP)にオープンリダイレクトの脆弱性

ランキングをもっと見る
PageTop