ID CVE-2021-28147
Summary The team sync HTTP API in Grafana Enterprise 6.x before 6.7.6, 7.x before 7.3.10, and 7.4.x before 7.4.5 has an Incorrect Access Control issue. On Grafana instances using an external authentication service and having the EditorsCanAdmin feature enabled, this vulnerability allows any authenticated user to add external groups to any existing team. This can be used to grant a user team permissions that the user isn't supposed to have.
References
Vulnerable Configurations
  • cpe:2.3:a:grafana:grafana:6.0.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.0.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.0.0:beta2:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.0:beta2:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.0.0:beta3:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.0:beta3:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.0.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.0.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.0.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.1.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.1.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.0:beta2:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.0:beta2:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.2.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.2.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:alpha30:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:alpha30:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:beta0:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:beta0:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:beta2:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:beta2:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:beta3:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:beta3:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.0:beta4:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.0:beta4:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.3.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.3.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.0:beta2:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.0:beta2:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.4.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.4.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.5.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.5.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.5.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.5.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.5.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.5.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.5.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.5.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.5.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.5.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.6.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.6.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.6.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.6.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.6.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.6.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.6.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.6.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:6.7.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:6.7.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.0:beta2:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.0:beta2:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.0:beta3:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.0:beta3:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.0.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.0.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.1.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.1.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.1.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.1.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.1.0:beta2:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.1.0:beta2:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.1.0:beta3:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.1.0:beta3:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.1.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.1.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.1.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.1.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.1.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.1.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.1.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.1.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.1.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.1.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.2.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.2.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.2.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.2.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.2.0:beta2:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.2.0:beta2:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.2.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.2.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.2.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.2.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.2.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.2.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.3.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.3.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.3.0:beta1:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.3.0:beta1:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.3.0:beta2:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.3.0:beta2:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.3.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.3.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.3.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.3.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.3.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.3.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.3.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.3.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.3.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.3.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.3.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.3.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.3.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.3.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.4.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.4.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.4.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.4.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.4.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.4.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.4.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.4.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:grafana:grafana:7.4.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:grafana:grafana:7.4.4:*:*:*:enterprise:*:*:*
CVSS
Base: 3.5 (as of 30-04-2021 - 08:15)
Impact:
Exploitability:
CWE NVD-CWE-Other
CAPEC
Access
VectorComplexityAuthentication
NETWORK MEDIUM SINGLE
Impact
ConfidentialityIntegrityAvailability
NONE PARTIAL NONE
cvss-vector via4 AV:N/AC:M/Au:S/C:N/I:P/A:N
Last major update 30-04-2021 - 08:15
Published 22-03-2021 - 15:15
Last modified 30-04-2021 - 08:15
Back to Top