CVE-2024-1442
Medium
Low
Medium
High
Critical
6.0
CVSS Score
Vulnerability Description
A user with the permissions to create a data source can use Grafana API to create a data source with UID set to *.
Doing this will grant the user access to read, query, edit and delete all data sources within the organization.
CVSS Metrics
Common Vulnerability Scoring System
Vector String:
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:L/A:L
Attack Vector
N
Attack Complexity
L
Privileges Required
H
User Interaction
N
Scope
U
Confidentiality
H
Integrity
L
Availability
L
Known Affected Software
73 configuration(s) from 1 vendor(s)
grafana
Version:
9.0.5
CPE:
cpe:2.3:a:grafana:grafana:9.0.5:*:*:*:*:*:*:*
grafana
Version:
9.5.0
CPE:
cpe:2.3:a:grafana:grafana:9.5.0:*:*:*:enterprise:*:*:*
grafana
Version:
9.3.13
CPE:
cpe:2.3:a:grafana:grafana:9.3.13:*:*:*:*:*:*:*
grafana
Version:
8.5.11
CPE:
cpe:2.3:a:grafana:grafana:8.5.11:*:*:*:*:*:*:*
grafana
Version:
8.5.5
CPE:
cpe:2.3:a:grafana:grafana:8.5.5:*:*:*:*:*:*:*
grafana
Version:
9.1.1
CPE:
cpe:2.3:a:grafana:grafana:9.1.1:*:*:*:*:*:*:*
grafana
Version:
8.5.6
CPE:
cpe:2.3:a:grafana:grafana:8.5.6:*:*:*:*:*:*:*
grafana
Version:
8.5.21
CPE:
cpe:2.3:a:grafana:grafana:8.5.21:*:*:*:*:*:*:*
grafana
Version:
9.0.4
CPE:
cpe:2.3:a:grafana:grafana:9.0.4:*:*:*:*:*:*:*
grafana
Version:
9.1.0
CPE:
cpe:2.3:a:grafana:grafana:9.1.0:-:*:*:*:*:*:*
grafana
Version:
9.2.4
CPE:
cpe:2.3:a:grafana:grafana:9.2.4:*:*:*:*:*:*:*
grafana
Version:
9.3.6
CPE:
cpe:2.3:a:grafana:grafana:9.3.6:*:*:*:*:*:*:*
grafana
Version:
9.3.1
CPE:
cpe:2.3:a:grafana:grafana:9.3.1:*:*:*:*:*:*:*
grafana
Version:
9.2.7
CPE:
cpe:2.3:a:grafana:grafana:9.2.7:*:*:*:*:*:*:*
grafana
Version:
9.1.3
CPE:
cpe:2.3:a:grafana:grafana:9.1.3:*:*:*:*:*:*:*
grafana
Version:
9.3.11
CPE:
cpe:2.3:a:grafana:grafana:9.3.11:*:*:*:*:*:*:*
grafana
Version:
9.2.17
CPE:
cpe:2.3:a:grafana:grafana:9.2.17:*:*:*:*:*:*:*
grafana
Version:
9.2.10
CPE:
cpe:2.3:a:grafana:grafana:9.2.10:*:*:*:*:*:*:*
grafana
Version:
9.0.8
CPE:
cpe:2.3:a:grafana:grafana:9.0.8:*:*:*:*:*:*:*
grafana
Version:
9.0.1
CPE:
cpe:2.3:a:grafana:grafana:9.0.1:*:*:*:*:*:*:*
grafana
Version:
9.1.7
CPE:
cpe:2.3:a:grafana:grafana:9.1.7:*:*:*:*:*:*:*
grafana
Version:
9.4.0
CPE:
cpe:2.3:a:grafana:grafana:9.4.0:*:*:*:enterprise:*:*:*
grafana
Version:
9.4.16
CPE:
cpe:2.3:a:grafana:grafana:9.4.16:*:*:*:enterprise:*:*:*
grafana
Version:
9.0.9
CPE:
cpe:2.3:a:grafana:grafana:9.0.9:*:*:*:*:*:*:*
grafana
Version:
9.2.3
CPE:
cpe:2.3:a:grafana:grafana:9.2.3:*:*:*:*:*:*:*
grafana
Version:
10.0.7
CPE:
cpe:2.3:a:grafana:grafana:10.0.7:*:*:*:enterprise:*:*:*
grafana
Version:
8.5.14
CPE:
cpe:2.3:a:grafana:grafana:8.5.14:*:*:*:*:*:*:*
grafana
Version:
9.3.8
CPE:
cpe:2.3:a:grafana:grafana:9.3.8:*:*:*:*:*:*:*
grafana
Version:
8.5.15
CPE:
cpe:2.3:a:grafana:grafana:8.5.15:*:*:*:*:*:*:*
grafana
Version:
10.0.0
CPE:
cpe:2.3:a:grafana:grafana:10.0.0:*:*:*:enterprise:*:*:*
grafana
Version:
9.2.5
CPE:
cpe:2.3:a:grafana:grafana:9.2.5:*:*:*:*:*:*:*
grafana
Version:
8.5.0
CPE:
cpe:2.3:a:grafana:grafana:8.5.0:-:*:*:*:*:*:*
grafana
Version:
9.1.4
CPE:
cpe:2.3:a:grafana:grafana:9.1.4:*:*:*:*:*:*:*
grafana
Version:
9.4.1
CPE:
cpe:2.3:a:grafana:grafana:9.4.1:*:*:*:*:*:*:*
grafana
Version:
9.4.2
CPE:
cpe:2.3:a:grafana:grafana:9.4.2:*:*:*:*:*:*:*
grafana
Version:
9.2.6
CPE:
cpe:2.3:a:grafana:grafana:9.2.6:*:*:*:*:*:*:*
grafana
Version:
8.5.22
CPE:
cpe:2.3:a:grafana:grafana:8.5.22:*:*:*:*:*:*:*
grafana
Version:
8.5.12
CPE:
cpe:2.3:a:grafana:grafana:8.5.12:*:*:*:*:*:*:*
grafana
Version:
8.5.20
CPE:
cpe:2.3:a:grafana:grafana:8.5.20:*:*:*:*:*:*:*
grafana
Version:
9.1.5
CPE:
cpe:2.3:a:grafana:grafana:9.1.5:*:*:*:*:*:*:*
grafana
Version:
9.1.8
CPE:
cpe:2.3:a:grafana:grafana:9.1.8:*:*:*:*:*:*:*
grafana
Version:
8.5.4
CPE:
cpe:2.3:a:grafana:grafana:8.5.4:*:*:*:*:*:*:*
grafana
Version:
9.4.7
CPE:
cpe:2.3:a:grafana:grafana:9.4.7:*:*:*:*:*:*:*
grafana
Version:
9.4.17
CPE:
cpe:2.3:a:grafana:grafana:9.4.17:*:*:*:enterprise:*:*:*
grafana
Version:
10.1.0
CPE:
cpe:2.3:a:grafana:grafana:10.1.0:*:*:*:enterprise:*:*:*
grafana
Version:
10.1.3
CPE:
cpe:2.3:a:grafana:grafana:10.1.3:*:*:*:enterprise:*:*:*
grafana
Version:
8.5.9
CPE:
cpe:2.3:a:grafana:grafana:8.5.9:*:*:*:*:*:*:*
grafana
Version:
8.5.2
CPE:
cpe:2.3:a:grafana:grafana:8.5.2:*:*:*:*:*:*:*
grafana
Version:
9.1.6
CPE:
cpe:2.3:a:grafana:grafana:9.1.6:*:*:*:*:*:*:*
grafana
Version:
9.4.3
CPE:
cpe:2.3:a:grafana:grafana:9.4.3:*:*:*:*:*:*:*
grafana
Version:
10.3.0
CPE:
cpe:2.3:a:grafana:grafana:10.3.0:*:*:*:*:*:*:*
grafana
Version:
9.1.2
CPE:
cpe:2.3:a:grafana:grafana:9.1.2:*:*:*:*:*:*:*
grafana
Version:
9.2.13
CPE:
cpe:2.3:a:grafana:grafana:9.2.13:*:*:*:*:*:*:*
grafana
Version:
8.5.13
CPE:
cpe:2.3:a:grafana:grafana:8.5.13:*:*:*:*:*:*:*
grafana
Version:
9.0.7
CPE:
cpe:2.3:a:grafana:grafana:9.0.7:*:*:*:*:*:*:*
grafana
Version:
9.2.0
CPE:
cpe:2.3:a:grafana:grafana:9.2.0:*:*:*:*:*:*:*
grafana
Version:
9.2.1
CPE:
cpe:2.3:a:grafana:grafana:9.2.1:*:*:*:*:*:*:*
grafana
Version:
9.0.0
CPE:
cpe:2.3:a:grafana:grafana:9.0.0:-:*:*:*:*:*:*
grafana
Version:
8.5.10
CPE:
cpe:2.3:a:grafana:grafana:8.5.10:*:*:*:*:*:*:*
grafana
Version:
8.5.3
CPE:
cpe:2.3:a:grafana:grafana:8.5.3:*:*:*:*:*:*:*
grafana
Version:
10.0.9
CPE:
cpe:2.3:a:grafana:grafana:10.0.9:*:*:*:enterprise:*:*:*
grafana
Version:
8.5.1
CPE:
cpe:2.3:a:grafana:grafana:8.5.1:*:*:*:*:*:*:*
grafana
Version:
10.1.5
CPE:
cpe:2.3:a:grafana:grafana:10.1.5:*:*:*:enterprise:*:*:*
grafana
Version:
9.3.0
CPE:
cpe:2.3:a:grafana:grafana:9.3.0:-:*:*:*:*:*:*
grafana
Version:
9.3.4
CPE:
cpe:2.3:a:grafana:grafana:9.3.4:*:*:*:*:*:*:*
grafana
Version:
9.2.15
CPE:
cpe:2.3:a:grafana:grafana:9.2.15:*:*:*:*:*:*:*
grafana
Version:
10.2.0
CPE:
cpe:2.3:a:grafana:grafana:10.2.0:*:*:*:*:*:*:*
grafana
Version:
8.5.16
CPE:
cpe:2.3:a:grafana:grafana:8.5.16:*:*:*:*:*:*:*
grafana
Version:
9.2.2
CPE:
cpe:2.3:a:grafana:grafana:9.2.2:*:*:*:*:*:*:*
grafana
Version:
9.4.9
CPE:
cpe:2.3:a:grafana:grafana:9.4.9:*:*:*:*:*:*:*
grafana
Version:
9.0.2
CPE:
cpe:2.3:a:grafana:grafana:9.0.2:*:*:*:*:*:*:*
grafana
Version:
9.0.6
CPE:
cpe:2.3:a:grafana:grafana:9.0.6:*:*:*:*:*:*:*
grafana
Version:
9.0.3
CPE:
cpe:2.3:a:grafana:grafana:9.0.3:*:*:*:*:*:*:*
This vulnerability affects 73 software configuration(s). Ensure you patch all affected systems.
Oracle
CPUJAN2025
Oracle Critical Patch Update Advisory - January 2025
Severity
Critical
Released
Jan 21, 2025
Restart Required
Security Update
References & Resources
-
https://grafana.com/security/security-advisories/cve-2024-1442/security@grafana.com Vendor Advisory
-
https://grafana.com/security/security-advisories/cve-2024-1442/af854a3a-2127-422b-91ae-364da2661108 Vendor Advisory
-
https://security.netapp.com/advisory/ntap-20241122-0007/af854a3a-2127-422b-91ae-364da2661108 Third Party Advisory
Severity Details
6.0
out of 10.0
Medium
Weakness Type (CWE)
CWE-269
Top 25 #25
Improper Privilege Management
- Description
- The product does not properly assign, modify, track, or check privileges for an actor, creating an unintended sphere of control for that actor.
- Exploit Likelihood
- Medium
- Typical Severity
- High
- OWASP Top 10
- A01:2021-Broken Access Control
- Abstraction Level
- Class
Key Information
- Published Date
- March 07, 2024
