Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2026-21721

Опубликовано: 27 янв. 2026
Источник: nvd
CVSS3: 8.1
EPSS Низкий

Описание

The dashboard permissions API does not verify the target dashboard scope and only checks the dashboards.permissions:* action. As a result, a user who has permission management rights on one dashboard can read and modify permissions on other dashboards. This is an organization‑internal privilege escalation.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*
Версия от 10.2.0 (включая) до 11.6.9 (исключая)
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*
Версия от 12.0.0 (включая) до 12.0.8 (исключая)
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*
Версия от 12.1.0 (включая) до 12.1.5 (исключая)
cpe:2.3:a:grafana:grafana:*:*:*:*:*:*:*:*
Версия от 12.2.0 (включая) до 12.2.3 (исключая)
cpe:2.3:a:grafana:grafana:11.6.9:-:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.0.8:-:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.1.5:-:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.2.3:-:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.3.0:*:*:*:*:*:*:*
cpe:2.3:a:grafana:grafana:12.3.1:-:*:*:*:*:*:*

EPSS

Процентиль: 31%
0.00388
Низкий

8.1 High

CVSS3

Дефекты

CWE-863

Связанные уязвимости

ubuntu логотип

CVE-2026-21721

CVSS3: 8.1
ubuntu
5 месяцев назад

The dashboard permissions API does not verify the target dashboard scope and only checks the dashboards.permissions:* action. As a result, a user who has permission management rights on one dashboard can read and modify permissions on other dashboards. This is an organization‑internal privilege escalation.

redhat логотип

CVE-2026-21721

CVSS3: 8.1
redhat
5 месяцев назад

The dashboard permissions API does not verify the target dashboard scope and only checks the dashboards.permissions:* action. As a result, a user who has permission management rights on one dashboard can read and modify permissions on other dashboards. This is an organization‑internal privilege escalation.

debian логотип

CVE-2026-21721

CVSS3: 8.1
debian
5 месяцев назад

The dashboard permissions API does not verify the target dashboard sco ...

github логотип

GHSA-jgfq-mgxg-4qwm

CVSS3: 8.1
github
5 месяцев назад

The dashboard permissions API does not verify the target dashboard scope and only checks the dashboards.permissions:* action. As a result, a user who has permission management rights on one dashboard can read and modify permissions on other dashboards. This is an organization‑internal privilege escalation.

fstec логотип

BDU:2026-01120

CVSS3: 8.1
fstec
5 месяцев назад

Уязвимость прикладного программного интерфейса платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 31%
0.00388
Низкий

8.1 High

CVSS3

Дефекты

CWE-863