検出

Grafana Labs < 11.6.14+security-04/ 12.2.0 < 12.2.8+security-04/ 12.3.0 < 12.3.6+security-04/ 12.4.0 < 12.4.3+security-02/ 13.0.0 < 13.0.1+security-01の複数の脆弱性

high Nessus プラグイン ID 316482

Language:

概要

リモートホストにセキュリティ更新がありません。

説明

リモートホストにインストールされているGrafana Labsのバージョンは、以下を含む複数の脆弱性の影響を受けます。
 - スナップショット API の壊れたアクセスコントロールの欠陥により、読み取りまたは書き込みアクセス権を持たないものであっても、エディターがダッシュボードのスナップショットを削除する可能性があります。(CVE-2026-28380)

 - Auth Proxy機能にIPv6許可リストを使用する場合、デフォルトで/32アドレスになり、意図されたホワイトリストがバイパスされる可能性があります。(CVE-2026-33376)

 - ダッシュボードのインポートはダッシュボードの ACL を上書きするため、編集者は自分が所有していないダッシュボードを上書きし、その特定のダッシュボードで管理者を取得できるようになります。(CVE-2026-33377)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Grafana Labsを 11.6.14+security-04、 12.2.8+security-04、 12.3.6+security-04、 12.4.3+security-02、 13.0.1+security-01以降に更新してください。

参考資料

http://www.nessus.org/u?422499b2

http://www.nessus.org/u?efa9acae

http://www.nessus.org/u?afc20dc5

http://www.nessus.org/u?3f991c78

http://www.nessus.org/u?b0568e82

http://www.nessus.org/u?621b46b4

http://www.nessus.org/u?8b7b1484

http://www.nessus.org/u?b54f491c

http://www.nessus.org/u?10329fa6

http://www.nessus.org/u?4dd6a359

プラグインの詳細

深刻度: High

ID: 316482

ファイル名: grafana_13_0_1_01.nasl

バージョン: 1.2

タイプ: Remote

ファミリー: Web Servers

公開日: 2026/5/22

更新日: 2026/5/25

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:C/A:N

CVSS スコアのソース: CVE-2026-33377

CVSS v3

リスクファクター: High

基本値: 7.4

現状値: 6.4

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2026-33376

脆弱性情報

CPE: cpe:/a:grafana:grafana

必要な KB アイテム: installed_sw/Grafana Labs

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/5/13

脆弱性公開日: 2026/5/13

参照情報

CVE: CVE-2026-28374, CVE-2026-28376, CVE-2026-28379, CVE-2026-28380, CVE-2026-28383, CVE-2026-33376, CVE-2026-33377, CVE-2026-33378, CVE-2026-33380, CVE-2026-33381

IAVB: 2026-B-0128