CVE-2021-28147 in Grafana
Tóm tắt
Bởi VulDB • 14/06/2026
API HTTP đồng bộ nhóm (team sync) trong Grafana Enterprise 6.x trước phiên bản 6.7.6, 7.x trước phiên bản 7.3.10 và 7.4.x trước phiên bản 7.4.5 có vấn đề về Kiểm soát Truy cập Không Đúng đắn (Incorrect Access Control). Trên các instance của Grafana sử dụng dịch vụ xác thực bên ngoài và có tính năng EditorsCanAdmin được bật, lỗ hổng này cho phép bất kỳ người dùng đã xác thực nào thêm nhóm bên ngoài vào bất kỳ team hiện có nào. Điều này có thể được khai thác để cấp quyền team cho một người dùng mà họ không đáng lẽ phải có.
If you want to get best quality of vulnerability data, you may have to visit VulDB.