ALT-PU-2026-2386-4

BDU:2025-14561

CRITICAL10.0

Уязвимость реализации стандарта SCIM платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю получить несанкционированный доступ к платформе

Опубликовано: 2025-11-24Изменено: 2025-11-25

CVSS 3.xКРИТИЧЕСКАЯ 10.0

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

CVE-2025-41115

BDU:2026-01120

HIGH8.1

Уязвимость прикладного программного интерфейса платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю повысить свои привилегии и получить несанкционированный доступ к защищаемой информации

Опубликовано: 2026-02-02Изменено: 2026-03-19

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

CVSS 2.0ВЫСОКАЯ 8.5

CVSS:2.0/AV:N/AC:L/Au:S/C:C/I:C/A:N

Ссылки

CVE-2026-21721

BDU:2026-03572

HIGH7.5

Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2026-03-25

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2026-21720

BDU:2026-05567

MEDIUM4.3

Уязвимость системы оповещений платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2026-04-20

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0СРЕДНЯЯ 4.0

CVSS:2.0/AV:N/AC:L/Au:S/C:P/I:N/A:N

Ссылки

CVE-2025-12141

CVE-2025-12141

LOW1.3

In Grafana's alerting system, users with edit permissions for a contact point, specifically the permissions “alert.notifications:write” or “alert.notifications.receivers:test” that are granted as part of the fixed role "Contact Point Writer", which is part of the basic role Editor - can edit contact points created by other users, modify the endpoint URL to a controlled server. By invoking the test functionality, attackers can capture and extract redacted secure settings, such as authentication credentials for third-party services (e.g., Slack tokens). This leads to unauthorized access and potential compromise of external integrations.

Опубликовано: 2026-04-15Изменено: 2026-04-20

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CVSS 4.0НИЗКАЯ 1.3

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N/E:U/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:Y/R:X/V:X/RE:X/U:X

Ссылки

https://grafana.com/security/security-advisories/cve-2025-12141/

CVE-2025-41115

CRITICAL9.8

SCIM provisioning was introduced in Grafana Enterprise and Grafana Cloud in April to improve how organizations manage users and teams in Grafana by introducing automated user lifecycle management. In Grafana versions 12.x where SCIM provisioning is enabled and configured, a vulnerability in user identity handling allows a malicious or compromised SCIM client to provision a user with a numeric externalId, which in turn could allow to override internal user IDs and lead to impersonation or privilege escalation. This vulnerability applies only if all of the following conditions are met: - `enableSCIM` feature flag set to true - `user_sync_enabled` config option in the `[auth.scim]` block set to true

Опубликовано: 2025-11-21Изменено: 2026-01-08

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

https://grafana.com/security/security-advisories/CVE-2025-41115

CVE-2026-21720

HIGH7.5

Every uncached /avatar/:hash request spawns a goroutine that refreshes the Gravatar image. If the refresh sits in the 10-slot worker queue longer than three seconds, the handler times out and stops listening for the result, so that goroutine blocks forever trying to send on an unbuffered channel. Sustained traffic with random hashes keeps tripping this timeout, so goroutine count grows linearly, eventually exhausting memory and causing Grafana to crash on some systems.

Опубликовано: 2026-01-27Изменено: 2026-02-17

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

https://grafana.com/security/security-advisories/CVE-2026-21720

CVE-2026-21721

HIGH8.1

The dashboard permissions API does not verify the target dashboard scope and only checks the dashboards.permissions:* action. As a result, a user who has permission management rights on one dashboard can read and modify permissions on other dashboards. This is an organization‑internal privilege escalation.

Опубликовано: 2026-01-27Изменено: 2026-04-20

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Ссылки

https://grafana.com/security/security-advisories/cve-2026-21721

GHSA-w62r-7c53-fmc5

CRITICAL10.0

Grafana Incorrect Privilege Assignment vulnerability

Опубликовано: 2025-11-21Изменено: 2025-11-27

CVSS 3.xКРИТИЧЕСКАЯ 10.0

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Ссылки

Обновление пакета grafana в ветке p11

Закрытые проблемы (9)

Уязвимость реализации стандарта SCIM платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю получить несанкционированный доступ к платформе

Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость системы оповещений платформы для мониторинга и наблюдения Grafana, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Grafana Incorrect Privilege Assignment vulnerability