CVE-2021-28147 - The team sync HTTP API in Grafana Enterprise 6.x before 6.7.6, 7.x before 7.3.10, and 7.4.x before 7

CVE-2021-28147

Summary

The team sync HTTP API in Grafana Enterprise 6.x before 6.7.6, 7.x before 7.3.10, and 7.4.x before 7.4.5 has an Incorrect Access Control issue. On Grafana instances using an external authentication service and having the EditorsCanAdmin feature enabled, this vulnerability allows any authenticated user to add external groups to any existing team. This can be used to grant a user team permissions that the user isn't supposed to have.

References

Vulnerable Configurations

cpe:2.3:a:grafana:grafana:7.4.0:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.4.0:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.4.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.4.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.4.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.4.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.4.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.4.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.4.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.4.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.0:beta3:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.0:beta3:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.0.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.6:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.1.6:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.2.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:alpha30:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:alpha30:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:beta0:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:beta0:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:beta3:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:beta3:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:beta4:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.0:beta4:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.6:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.6:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.7:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.3.7:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.4.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.5.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.6.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.6.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.6.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.6.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.6.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.6.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.6.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.6.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:6.7.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.0:beta3:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.0:beta3:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.6:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.0.6:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.0:beta3:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.0:beta3:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.1.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.2.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.0:-:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.0:beta1:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.0:beta2:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.1:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.2:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.3:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.4:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.5:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.6:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.6:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.7:*:*:*:enterprise:*:*:*
cpe:2.3:a:grafana:grafana:7.3.7:*:*:*:enterprise:*:*:*

CVSS

Base:	3.5 (as of 20-05-2022 - 20:43)
Impact:
Exploitability:

CWE

NVD-CWE-Other

CAPEC

Access

Vector	Complexity	Authentication
NETWORK	MEDIUM	SINGLE

Impact

Confidentiality	Integrity	Availability
NONE	PARTIAL	NONE

cvss-vector via4

AV:N/AC:M/Au:S/C:N/I:P/A:N

Last major update

20-05-2022 - 20:43

Published

22-03-2021 - 15:15

Last modified

20-05-2022 - 20:43