openSUSE 16セキュリティ更新プログラム:grafana(openSUSE-SU-2026:20940-1)
medium Nessus プラグイン ID 321072
Language:
概要
リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。説明
リモートの openSUSE 16 ホストに、複数の脆弱性の影響を受けているパッケージがインストールされています。これらの脆弱性は openSUSE-SU-2026:20940-1 アドバイザリで言及されています。grafana の変更点:
- CVE-2026-39821:golang.org/x/net をバージョン 0.55.0 に更新することで、検証のバイパスと権限昇格を修正します(bsc#1266600)
- バージョン 11.6.14+security-04 に更新してください:
Security:
* CVE-2026-28374:Annotations API のセキュアでないダイレクトオブジェクト参照を修正します(bsc#1265290)
* CVE-2026-28376:Grafanaライブプッシュエンドポイントの無制限メモリ割り当てを修正(bsc#1265289)
* CVE-2026-28383:Grafanaプラグインリソースの無制限メモリ割り当てを修正(bsc#1265286)
* CVE-2026-28380:スナップショット API の破損したアクセスコントロールを修正します(bsc#1265287)
* CVE-2026-33376:Auth Proxy IPv6 ホワイトリストバイパスを修正します(bsc#1265285)
* CVE-2026-28379:Grafana Live(bsc#1265288)で視聴者がトリガーした競合状態を修正
* CVE-2026-33377:ダッシュボードエディターの権限昇格を修正(bsc#1265284)
* CVE-2026-33378:Grafana データソースプラグインの OOM 例外を修正(bsc#1265283)
* CVE-2026-33381:権限削除後にユーザーがサービスアカウントトークンを生成することが防止されます(bsc#1265281)
* CVE-2026-33380:認証された攻撃者がGrafanaサーバーファイルシステムから任意のファイルを読み取る可能性があるSQL式の脆弱性を修正(bsc#1265282)
- CVE-2026-34986:JWE 復号化でのパニックを修正します(bsc#1262950)
- CVE-2026-41602:Apache Thrift の整数オーバーフローまたはラップアラウンドの脆弱性を修正します(bsc#1263501)
- CVE-2026-26958:filippo.io/edwards25519 をバージョン 1.1.1 に更新します(bsc#1258595)
- CVE-2026-21725:名前でデータソースを削除するときに UID がないのを修正します(bsc#1258873)
- バージョン 11.6.14+security-01 に更新してください:
Security:
* CVE-2026-33375:MSSQL データソースプラグイン(bsc#1260881)のメモリ不足消耗によるサービス拒否を修正
- バージョン 11.6.14 への更新:
Security:
* CVE-2026-27876:連鎖した SQL 式を介したリモートの任意のコード実行を修正(bsc#1261025)
* CVE-2026-27877:パブリックダッシュボードによるデータソースパスワードの情報漏洩を修正します(bsc#1261026)
* CVE-2026-28375:testdata データソースを介したサービス拒否を修正します(bsc#1261029)
* CVE-2026-27879:リサンプルクエリによるサービス拒否を修正します(bsc#1261027)
* CVE-2026-33186:HTTP/2 :p ath pseudo-header(bsc#1260263)の不適切な検証による承認バイパスを修正します
* CVE-2026-21724:保護された Webhook URL の改ざんを可能にする承認バイパスを修正します(bsc#1260878)
- バージョン 11.6.13 への更新:
拡張機能:
* パブリックダッシュボードサービスを HTTP サーバーにワイヤーアリングします
- バージョン 11.6.12 への更新:
拡張機能:
* 認証リダイレクトロジックを更新します バグ修正:
* 変数参照での単一パネルレンダリングを修正します
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける grafana パッケージを更新してください。参考資料
https://bugzilla.suse.com/1258595
https://bugzilla.suse.com/1258873
https://bugzilla.suse.com/1259999
https://bugzilla.suse.com/1260263
https://bugzilla.suse.com/1260878
https://bugzilla.suse.com/1260881
https://bugzilla.suse.com/1261025
https://bugzilla.suse.com/1261026
https://bugzilla.suse.com/1261027
https://bugzilla.suse.com/1261029
https://bugzilla.suse.com/1262950
https://bugzilla.suse.com/1263501
https://bugzilla.suse.com/1264764
https://bugzilla.suse.com/1265281
https://bugzilla.suse.com/1265282
https://bugzilla.suse.com/1265283
https://bugzilla.suse.com/1265284
https://bugzilla.suse.com/1265285
https://bugzilla.suse.com/1265286
https://bugzilla.suse.com/1265287
https://bugzilla.suse.com/1265288
https://bugzilla.suse.com/1265289
https://bugzilla.suse.com/1265290
https://bugzilla.suse.com/1266600
https://www.suse.com/security/cve/CVE-2025-29923
https://www.suse.com/security/cve/CVE-2025-30153
https://www.suse.com/security/cve/CVE-2026-21724
https://www.suse.com/security/cve/CVE-2026-21725
https://www.suse.com/security/cve/CVE-2026-26958
https://www.suse.com/security/cve/CVE-2026-27876
https://www.suse.com/security/cve/CVE-2026-27877
https://www.suse.com/security/cve/CVE-2026-27879
https://www.suse.com/security/cve/CVE-2026-28374
https://www.suse.com/security/cve/CVE-2026-28375
https://www.suse.com/security/cve/CVE-2026-28376
https://www.suse.com/security/cve/CVE-2026-28379
https://www.suse.com/security/cve/CVE-2026-28380
https://www.suse.com/security/cve/CVE-2026-28383
https://www.suse.com/security/cve/CVE-2026-33186
https://www.suse.com/security/cve/CVE-2026-33375
https://www.suse.com/security/cve/CVE-2026-33376
https://www.suse.com/security/cve/CVE-2026-33377
https://www.suse.com/security/cve/CVE-2026-33378
https://www.suse.com/security/cve/CVE-2026-33380
https://www.suse.com/security/cve/CVE-2026-33381
https://www.suse.com/security/cve/CVE-2026-34986
プラグインの詳細
深刻度: Medium
ID: 321072
ファイル名: openSUSE-2026-20940-1.nasl
バージョン: 1.2
タイプ: Local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2026/6/14
更新日: 2026/6/17
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.3
CVSS v2
リスクファクター: High
基本値: 8.5
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N
CVSS スコアのソース: CVE-2026-33381
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.3
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
リスクファクター: Medium
Base Score: 6.3
Threat Score: 2.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N
CVSS スコアのソース: CVE-2026-26958
脆弱性情報
CPE: cpe:/o:novell:opensuse:16.0, p-cpe:/a:novell:opensuse:grafana
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/6/10
脆弱性公開日: 2025/3/19
参照情報
CVE: CVE-2025-29923, CVE-2025-30153, CVE-2026-21724, CVE-2026-21725, CVE-2026-26958, CVE-2026-27876, CVE-2026-27877, CVE-2026-27879, CVE-2026-28374, CVE-2026-28375, CVE-2026-28376, CVE-2026-28379, CVE-2026-28380, CVE-2026-28383, CVE-2026-33186, CVE-2026-33375, CVE-2026-33376, CVE-2026-33377, CVE-2026-33378, CVE-2026-33380, CVE-2026-33381, CVE-2026-34986, CVE-2026-39821, CVE-2026-41602
IAVB: 2026-B-0079-S, 2026-B-0128