Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CVE-2026-21725

PUBLISHED 24.04.2026

CNA: GRAFANA

Authorization Bypass via TOCTOU in Grafana Datasource Deletion by Name

Обновлено: 24.04.2026
A time-of-create-to-time-of-use (TOCTOU) vulnerability lets recently deleted-then-recreated data sources be re-deleted without permission to do so. This requires several very stringent conditions to be met: - The attacker must have admin access to the specific datasource prior to its first deletion. - Upon deletion, all steps within the attack must happen within the next 30 seconds and on the same pod of Grafana. - The attacker must delete the datasource, then someone must recreate it. - The new datasource must not have the attacker as an admin. - The new datasource must have the same UID as the prior datasource. These are randomised by default. - The datasource can now be re-deleted by the attacker. - Once 30 seconds are up, the attack is spent and cannot be repeated. - No datasource with any other UID can be attacked.

БДУ ФСТЭК

Идентификатор Описание
BDU:2026-07793 Уязвимость платформы для мониторинга и наблюдения Grafana, связанная с ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю повысить свои привилегии

CVSS

Оценка Severity Версия Базовый вектор
2.6 LOW 3.1 CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:L

EPSS

Вероятность Severity Процентиль ? Дата расчёта
0.01% LOW 2.69 23.05.2026

Доп. Информация

Product Status

Grafana
Product: Grafana
Vendor: Grafana
Default status: unaffected
Platforms:
  • OnPrem
Версии:
Затронутые версии Статус
Наблюдалось в версиях от v11.0.0 до v12.4.1 affected
 

Ссылки

CISA ADP Vulnrichment

Обновлено: 25.02.2026
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no partial 2.0.3 25.02.2026

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.