CVE-2021-28147 in Grafanathông tin

Tóm tắt

Bởi VulDB • 14/06/2026

API HTTP đồng bộ nhóm (team sync) trong Grafana Enterprise 6.x trước phiên bản 6.7.6, 7.x trước phiên bản 7.3.10 và 7.4.x trước phiên bản 7.4.5 có vấn đề về Kiểm soát Truy cập Không Đúng đắn (Incorrect Access Control). Trên các instance của Grafana sử dụng dịch vụ xác thực bên ngoài và có tính năng EditorsCanAdmin được bật, lỗ hổng này cho phép bất kỳ người dùng đã xác thực nào thêm nhóm bên ngoài vào bất kỳ team hiện có nào. Điều này có thể được khai thác để cấp quyền team cho một người dùng mà họ không đáng lẽ phải có.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Đặt trước

11/03/2021

Tiết lộ

22/03/2021

Kiểm duyệt

được chấp nhận

EPSS

0.01610

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!