リモートホストにインストールされた Grafana Labs のバージョンは、CVE-2025-3580 のアドバイザリに記載されている不適切なアクセスコントロールの脆弱性の影響を受けます。 

  - Grafana OSS でアクセスコントロールの脆弱性が発見され、組織の管理者が Server の管理者アカウントを完全に削除する可能性があります。この脆弱性は DELETE /api/org/users/ エンドポイントに存在します。この脆弱性は次のときに悪用される可能性があります。1. 組織の管理者が存在する 2. サーバー管理者が次のいずれかです。- 組織の一部ではない、または - 組織の管理者と同じ組織の一部です。影響: - 組織の管理者はサーバー管理者アカウントを完全に削除できます。- サーバー管理者のみが削除されると、Grafana インスタンスが管理不能になります - システムにスーパーユーザーの権限が残りません - インスタンスで管理されているすべてのユーザー、組織、チームに影響します。この脆弱性は、Grfana インスタンスに対する管理コントロールの完全な損失につながる可能性があるため、特に深刻です。(CVE-2025-3580)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Grafana Labs 10.4.x < 10.4.19、11.2.x < 11.2.10、11.3.x < 11.3.7、11.4 < 11.4.5、11.5 < 11.5.5、11.6 < 11.6.2、12.0.x < 12.0.1 不適切なアクセスコントロール (CVE-2025-3580)

medium Nessus プラグイン ID 241355