何が起きたか
Grafana の MCP サーバーはクライアント提供の X-Grafana-URL ヘッダーを信頼して、呼び出すアップストリーム Grafana インスタンスを決定し、攻撃者がサーバー自身のサービスアカウントトークンを攻撃者制御のエンドポイントにリダイレクトし、内部インフラストラクチャに対して SSRF にピボットすることを許可しました。
なぜ重要か
Grafana はエンタープライズ可観測性スタック全体で広くデプロイされています。MCP サーバー(AI エージェントがダッシュボード/メトリクスをクエリできるようにするために使用)を認証されていないトークン盗難および クラウドメタデータエンドポイントに対する SSRF に公開すると、認証情報チェーンを通じた完全なクラウドアカウント侵害につながる可能性があります。
攻撃経路
認証されていないリモート攻撃者は MCP サーバーに作成済み X-Grafana-URL リクエストヘッダーを供給し、confused deputy として機能させます:自身の環境設定 Grafana サービスアカウントトークンを流出させ、クラウドメタデータエンドポイントを含む任意の内部サービスに対して SSRF を可能にします。
影響を受けるシステム
Grafana MCP サーバー(Grafana アドバイザリあたりの未指定のバージョン範囲)
緩和策
Grafana のセキュリティアドバイザリ修正を適用してください。grafana.com/security/security-advisories/cve-2026-15583 を参照してください。