CVE-2026-28374Grafana 存在越权访问漏洞。具有编辑角色的用户能够删除系统中任意注释,包括那些位于他们无权访问的仪表板或文件夹中的注释。虽然编辑用户无法查看或创建这些受限制的注释,但该漏洞破坏了访问控制模型,允许未经授权的数据删除操作。此问题可能影响关键数据的完整性,导致用户丢失重要的上下文信息或审计记录。
该漏洞源于 Grafana 在处理注释删除请求时未充分验证用户对目标资源所属上下文(如仪表板或文件夹)的访问权限。通常,访问控制应确保用户只有在对资源拥有读取权限时才能执行修改操作。然而,在受影响版本中,后端 API 仅验证用户是否具备“编辑”角色,而未检查目标注释是否位于用户可见的范围内。攻击者可以通过构造特定的 API 请求(如发送 DELETE 请求到 /api/annotations/{id} 端点),指定目标注释的 ID。由于缺乏上下文权限校验,即使攻击者不知道注释的具体内容或无法访问相关仪表板,服务器也会执行删除操作。这是一种典型的失效的访问控制漏洞。