Grafana Labs 10.2.0 < 11.6.9+security-01 / 12.0.0 < 12.0.8+security-01 / 12.1.0 < 12.1.5+security-01 / 12.2.0 < 12.2.3+security-01 / 12.3.0 < 12.3.1+security-01 01 権限昇格CVE-2026-21721
high Nessus プラグイン ID 297197
Language:
概要
リモートホストにセキュリティ更新がありません。説明
リモートホストにインストールされている Grafana Labs のバージョンは CVE-2026-21721 、 アドバイザリで言及されているように、権限昇格の脆弱性の影響を受けます。- ダッシュボード権限 API は、ターゲットのダッシュボードスコープを検証せず、dashboards.permissions:* アクションのみをチェックします。その結果、あるダッシュボードでアクセス許可を管理する権限を持つユーザーは、他のダッシュボードのアクセス許可を読み取ったり変更したりすることができます。これは、組織内部の権限昇格です。CVE-2026-21721
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Grafana Labs を 11.6.9+security-01、12.0.8+security-01、12.1.5+security-01、12.2.3+security-01、12.3.1+security-01 以降に更新してください。参考資料
https://grafana.com/security/security-advisories/cve-2026-21721/
プラグインの詳細
深刻度: High
ID: 297197
ファイル名: grafana_CVE-2026-21721.nasl
バージョン: 1.3
タイプ: remote
ファミリー: Web Servers
公開日: 2026/1/30
更新日: 2026/2/4
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 8.5
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N
CVSS スコアのソース: CVE-2026-21721
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:grafana:grafana
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/1/27
脆弱性公開日: 2026/1/27
参照情報
CVE: CVE-2026-21721
IAVB: 2026-B-0025