製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

Grafana LabsのGrafana Tempoにおけるリソースの枯渇に関する脆弱性

Title	Grafana LabsのGrafana Tempoにおけるリソースの枯渇に関する脆弱性
Summary	Grafana Tempo の TraceQL クエリで大きなサンプルヒント値を使用すると、Tempo インスタンスが過剰なメモリを割り当て、メモリ不足によりクラッシュが発生する可能性があります。これにより、認証されたユーザーが Tempo サービスに対してサービス拒否を引き起こすことができます。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	参考情報を参照して適切な対策を実施してください。
Publication Date	June 19, 2026, midnight
Registration Date	June 30, 2026, 11:22 a.m.
Last Update	June 30, 2026, 11:22 a.m.

CVSS3.0 : 警告
Score	6.5
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Affected System

Grafana Labs

Grafana Tempo 2.10.0 以上 2.10.2 未満

Grafana Tempo 2.6.0 以上 2.8.4 未満

Grafana Tempo 2.9.0 以上 2.9.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-27878	https://www.cve.org/CVERecord?id=CVE-2026-27878
National Vulnerability Database (NVD)
2	CVE-2026-27878	https://nvd.nist.gov/vuln/detail/CVE-2026-27878

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html

Change Log

No	Changed Details	Date of change
1	[2026年06月30日] 掲載	June 30, 2026, 11:22 a.m.

NVD Vulnerability Information

CVE-2026-27878

Summary	A TraceQL query in Grafana Tempo with a large exemplars hint value can cause the Tempo instance to allocate an excessive amount of memory, resulting in an out-of-memory crash. This could allow an authenticated user to trigger a denial of service against the Tempo service.
Publication Date	June 20, 2026, 4:16 a.m.
Registration Date	June 27, 2026, 4:06 a.m.
Last Update	June 23, 2026, 10:16 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://grafana.com/security/security-advisories/cve-2026-27878	security@grafana.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html