つみかさね

CVE-2026-11769

High(8.8)

Grafana OperatorのパストラバーサルCVE-2026-11769:影響範囲と対応方法

公開日: 2026-07-11データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Grafana OperatorGrafana Labs≤ 5.23

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Grafana Operator のバージョンを `kubectl get csv -A | grep grafana-operator` で確認する
  2. 2jsonnet ベースのダッシュボードリソースが存在するか確認する
  3. 3Grafana Operator 5.24.0 へアップデートする(OLM / Helm / マニフェスト直接更新)
  4. 4緊急時は ValidatingAdmissionPolicy で jsonnet リソースの作成を禁止する

影響対象

Grafana Operator 利用の Kubernetes 環境(特にマルチテナント)

補足

  • -Operator のアップデートには Pod の再起動が必要です
  • -ValidatingAdmissionPolicy は Kubernetes 1.26+ で利用可能
CVEGrafanaKubernetesパストラバーサル権限昇格

30秒で判断

対応すべき人:

  • Grafana Operator(grafana-operator)バージョン 5.23 以前を Kubernetes で運用している
  • Grafana Operator に対してダッシュボードや LibraryPanel リソースを作成できるユーザーが複数いる(特にマルチテナント環境)

対応不要な人:

  • Grafana Operator 5.24.0 以降を使用している
  • Grafana Operator を使用しておらず、Grafana を直接 Helm などで管理している
  • Grafana Operator 管理者のみが Dashboard リソースを作成できる(信頼できる管理者のみ)

確認コマンド:

# Grafana Operator のバージョン確認
kubectl get deployment -n grafana-operator -o jsonpath='{.items[*].spec.template.spec.containers[*].image}'

# または OLM 経由でインストールしている場合
kubectl get csv -A | grep grafana-operator

概要

Grafana Operator 5.23 以前において、Dashboard または LibraryPanel リソースで jsonnet データテンプレート言語を使用している場合、悪意あるユーザーが Grafana Operator マネージャー Pod の Kubernetes サービスアカウントトークンを取得できます。

Grafana Operator は grafanaDashboardsgrafanaLibraryPanelsspec.jsonnetLib を指定することで、jsonnet 式をオペレーターマネージャーのコンテキストで評価します。この jsonnet 評価が適切なサンドボックス制限なしに行われるため、ファイルシステムアクセスを通じてサービスアカウントトークン(/var/run/secrets/kubernetes.io/serviceaccount/token)を読み取れる可能性があります。

マルチテナント環境や、信頼されていないユーザーが Grafana ダッシュボードを管理できる環境で特に影響が大きくなります。


CVSSベクトル

項目説明
Attack VectorNetworkネットワーク経由(Kubernetes API 経由)で攻撃可能
Attack ComplexityLow特別な条件不要
Privileges RequiredLow一般的な Kubernetes ユーザー権限
User InteractionNoneユーザー操作不要
ScopeUnchangedスコープ変化なし
ConfidentialityHigh機密性への影響大
IntegrityHigh完全性への影響大
AvailabilityHigh可用性への影響大

影響を受けるソフトウェア

製品影響バージョン修正バージョン
Grafana Operator≤ 5.235.24.0

修正バージョンと回避策

推奨対応: Grafana Operator を 5.24.0 へアップデートします。

緊急時の回避策: jsonnet ベースのリソース作成を禁止する ValidatingAdmissionPolicy を適用します。

apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicy
metadata:
  name: "prevent-jsonnet-dashboards"
spec:
  failurePolicy: Fail
  matchConstraints:
    resourceRules:
      - apiGroups: ["grafana.integreatly.org"]
        apiVersions: ["v1beta1"]
        operations: ["CREATE", "UPDATE"]
        resources: ["grafanadashboards", "grafanalibrarypanels"]
  validations:
    - expression: "!has(object.spec.jsonnetLib)"
---
apiVersion: admissionregistration.k8s.io/v1
kind: ValidatingAdmissionPolicyBinding
metadata:
  name: "prevent-jsonnet-dashboards-clusterwide"
spec:
  policyName: "prevent-jsonnet-dashboards"
  validationActions: [Deny]

関連リンク


データソース: NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。