Katalog CVE

CVE-2026-21724

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 - wyżej niż 15% wszystkich znanych CVE

Streszczenie

W Grafana OSS odkryto podatność, która pozwala na obejście autoryzacji w API punktów kontaktowych do provisioningu. Użytkownicy z rolą Edytora mogą modyfikować chronione adresy URL webhooków bez wymaganej zgody na alert.notifications.receivers.protected:write.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowane zmiany w konfiguracji webhooków, co może prowadzić do wycieku danych lub nieautoryzowanego dostępu do systemów.

Rekomendacja

Zaleca się ograniczenie dostępu do API punktów kontaktowych do provisioningu oraz przegląd ról użytkowników, aby upewnić się, że tylko uprawnione osoby mają dostęp do modyfikacji chronionych adresów URL.

Oryginalny opis (angielski, źródło NVD)

A vulnerability has been discovered in Grafana OSS where an authorization bypass in the provisioning contact points API allows users with Editor role to modify protected webhook URLs without the required alert.notifications.receivers.protected:write permission.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS