自己報告されたバージョンによると、リモートホストでホストされているGrafanaインストールは、 11.2.3+security-01より 11.3.x11.2.x 前、または 11.3.0+security-01より前です。したがって、不適切な権限割り当ての脆弱性の影響を受けます。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Grafana Labs Grafana OSSおよびEnterpriseの脆弱性により、ユーザーはGrafana Cloud Migration Assistantを介して同じGrafanaインスタンス内の他の組織からリソースにアクセスできる可能性があります。この脆弱性は、Organizations機能を利用して組織のリソースを隔離するユーザーにのみ影響を与えます。 Grafana インスタンスを実行する可能性があります。CVE-2024-9476

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの SUSE Linux SLES15 / openSUSE 15 ホストには、SUSE-SU-2025:01989-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    golang-github-prometheus-prometheus はバージョン に更新されました 2.53.4

    - 修正されたセキュリティ問題:
      * CVE-2023-45288構築のための Go >= 1.23 が必要ですbsc#1236516
      * CVE-2025-22870golang.org/x/net をバージョン へ更新しました 0.39.0bsc#1238686

    - バージョン からのその他のバグ修正 2.53.4
      * Runtime空の prometheus.yml ファイルでインストールされたときに 0 に設定されていた GOGC を修正しました。これにより CPU 使用率が高くなります
      * Scrape以前の Scrape が失敗した後の有効なメトリクスのドロップを修正しました

    prometheus-blackbox_exporter は、バージョン 0.24.0 から 0.26.0 に更新されましたjsc#PED-12872

    - 修正されたセキュリティ問題:
      * CVE-2025-22870IPv6 ゾーン ID を使用するプロキシバイパスを修正しましたbsc#1238680
      * CVE-2023-45288受信するヘッダーが多すぎる場合の接続終了を修正bsc#1236515

    - バージョン からのその他の変更 0.26.0
      * 変更
        - go-kit/log を log/slog モジュールで置換します。
      * 機能
        - ハンドシェイク中にネゴシエートされた tls 暗号スイートを記録するためのメトリクスを追加します。
        - プローブによって一致するコンテンツ付きのラベルをエクスポートする方法を追加します。
          証明書のシリアル番号を報告します。
      * 拡張機能
        - 古いワークフローを追加し、Prometheus の stale.yaml との同期を開始します。
      * バグ修正
        - 正常なハンドシェイクで grpc TLS メトリクスのみを登録します。


Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされた Grafana Labs のバージョンは、CVE-2024-9476 のアドバイザリに記載されている脆弱性の影響を受けます。

  - Grafana Labs の Grafana OSS および Enterprise にある脆弱性により、権限昇格が可能です。これにより、ユーザーは Grafana Cloud Migration Assistant を介して、同じ Grafana インスタンス内の他の組織のリソースにアクセスすることができます。
    この脆弱性の影響を受けるのは、Organizations 機能を利用して Grafana インスタンス上のリソースを分離しているユーザーのみです。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLES15 / openSUSE 15 ホストには、SUSE-SU-2025:01991-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    grafana はバージョン 10.4.15 から 11.5.5 に更新されましたjsc#PED-12918

    - 修正されたセキュリティ問題:
        * CVE-2025-4123クロスサイトスクリプティングの脆弱性を修正しますbsc#1243714。
        * CVE-2025-22872golang.org/x/net/html を更新しますbsc#1241809
        * CVE-2025-3580サーバー認証されていないサーバー管理者の削除を阻止しますbsc#1243672。
        * CVE-2025-29923github.com/redis/go-redis/v9 を に更新します 9.6.3。
        * CVE-2025-3454ルートへのアクセスを評価する前にパスをサニタイズしますbsc#1241683。
        * CVE-2025-2703組み込み XY Chart プラグインを修正しますbsc#1241687。
        * CVE-2025-22870golang.org/x/net を更新しますbsc#1238703
        * CVE-2024-9476Migration Assistant の問題を修正bsc#1233343
        * CVE-2024-9264SQL 式bsc#1231844
        * CVE-2023-45288golang.org/x/net を更新しますbsc#1236510
        * CVE-2025-22870golang.org/x/net をバージョン に更新します 0.37.0bsc#1238686]

    - バージョン での潜在的な破損変更 11.5.0
        * Loki/series API の代わりにクエリパラメーターで /labels API をデフォルトにします。
    - バージョン での潜在的な破損変更 11.0.1
        * 以前に「Portugu?s Brasileiro」として言語を選択していた場合は、これはリセットされます。修正を適用するには、環境設定でもう一度選択する必要があり、翻訳が表示されます。
    - バージョン での潜在的な破損変更 11.0.0
        * AngularJS サポートはデフォルトではオフになっています。
        * 従来のアラートは完全に削除されます。
        * サブフォルダーは、名前にスラッシュがあるフォルダーで非常に稀な問題を引き起こします。
        * 入力データソースが削除されます。
        * データソース非表示のクエリに関連する応答は、Grafana によって削除フィルターされます。
        * 個別の繰り返しパネルを表示する際に生成される URL が変更されました。
        * React Router は廃止予定です。
        * grafana/e2e テストツールは廃止されました。

    - この更新により、多くの新機能、拡張機能、修正が提供されます (以下で説明されています):
      * https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-5/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-4/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-3/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-2/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-1/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-0/

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLES15 ホストには、SUSE-SU-2025:01985-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    release-notes-susemanager

    - SUSE Manager への更新 4.3.15.2
      * SUSE Manager 4.3 は、2025 年 6 月以降 LTS に移行します
      * CVE 修正済み CVE-2023-45288、 CVE-2024-11741、 CVE-2024-45337、 CVE-2024-45339 CVE-2024-51744、 CVE-2024-9264、 CVE-2024-9476、 CVE-2025-22870 CVE-2025-22872、 CVE-2025-2703 CVE-2025-27144、 CVE-2025-3454 CVE-2025-3580、 CVE-2025-4123、 CVE-2024-47535

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLES12 ホストには、SUSE-SU-2025:01987-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    golang-github-prometheus-prometheus はバージョン に更新されました 2.53.4

    - 修正されたセキュリティ問題:
      * CVE-2023-45288構築のための Go >= 1.23 が必要ですbsc#1236516
      * CVE-2025-22870golang.org/x/net をバージョン へ更新しました 0.39.0bsc#1238686

    - バージョン からのその他のバグ修正 2.53.4
      * Runtime空の prometheus.yml ファイルでインストールされたときに 0 に設定されていた GOGC を修正しました。これにより CPU 使用率が高くなります
      * Scrape以前の Scrape が失敗した後の有効なメトリクスのドロップを修正しました

    prometheus-blackbox_exporter は、バージョン 0.24.0 から 0.26.0 に更新されましたjsc#PED-12872

    - 修正されたセキュリティ問題:
      * CVE-2025-22870IPv6 ゾーン ID を使用するプロキシバイパスを修正しましたbsc#1238680
      * CVE-2023-45288受信するヘッダーが多すぎる場合の接続終了を修正bsc#1236515

    - バージョン からのその他の変更 0.26.0
      * 変更
        - go-kit/log を log/slog モジュールで置換します。
      * 機能
        - ハンドシェイク中にネゴシエートされた tls 暗号スイートを記録するためのメトリクスを追加します。
        - プローブによって一致するコンテンツ付きのラベルをエクスポートする方法を追加します。
          証明書のシリアル番号を報告します。
      * 拡張機能
        - 古いワークフローを追加し、Prometheus の stale.yaml との同期を開始します。
      * バグ修正
        - 正常なハンドシェイクで grpc TLS メトリクスのみを登録します。

    - バージョン からのその他の変更 0.25.0
      * 機能
        - ターゲットごとのプローブログの取得を許可。
        - プローブからのログエラー。
      * バグ修正
        - ロギングエラーメッセージを混同しないようにします。
        - 内部エクスポートメトリクスの明示的な登録。

    grafana はバージョン 10.4.15 から 11.5.5 に更新されましたjsc#PED-12918

    - 修正されたセキュリティ問題:
      * CVE-2025-4123クロスサイトスクリプティングの脆弱性を修正しますbsc#1243714。
      * CVE-2025-22872golang.org/x/net/html を更新しますbsc#1241809
      * CVE-2025-3580サーバー認証されていないサーバー管理者の削除を阻止しますbsc#1243672。
      * CVE-2025-29923github.com/redis/go-redis/v9 を に更新します 9.6.3。
      * CVE-2025-3454ルートへのアクセスを評価する前にパスをサニタイズしますbsc#1241683。
      * CVE-2025-2703組み込み XY Chart プラグインを修正しますbsc#1241687。
      * CVE-2025-22870golang.org/x/net を更新しますbsc#1238703
      * CVE-2024-9476Migration Assistant の問題を修正bsc#1233343
      * CVE-2024-9264SQL 式bsc#1231844
      * CVE-2023-45288golang.org/x/net を更新しますbsc#1236510
      * CVE-2025-22870golang.org/x/net をバージョン に更新します 0.37.0bsc#1238686]

    - バージョン での潜在的な破損変更 11.5.0
      * Loki/series API の代わりにクエリパラメーターで /labels API をデフォルトにします。

    - バージョン での潜在的な破損変更 11.0.1
      * 以前に「Portugu?s Brasileiro」として言語を選択していた場合は、これはリセットされます。修正を適用するには、環境設定でもう一度選択する必要があり、翻訳が表示されます。

    - バージョン での潜在的な破損変更 11.0.0
      * AngularJS サポートはデフォルトではオフになっています。
      * 従来のアラートは完全に削除されます。
      * サブフォルダーは、名前にスラッシュがあるフォルダーで非常に稀な問題を引き起こします。
      * 入力データソースが削除されます。
      * データソース非表示のクエリに関連する応答は、Grafana によって削除フィルターされます。
      * 個別の繰り返しパネルを表示する際に生成される URL が変更されました。
      * React Router は廃止予定です。
      * grafana/e2e テストツールは廃止されました。

    - この更新により、多くの新機能、拡張機能、修正が提供されます (以下で説明されています):
      * https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-5/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-4/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-3/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-2/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-1/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-0/

    golang-github-prometheus-node_exporter はバージョン に更新されました 1.9.1

    - 修正されたセキュリティ問題:
      * CVE-2025-22870golang.org/x/net をバージョン へ更新しました 0.37.0bsc#1238686


Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
114829	Grafana 11.3.x < 11.3.0+security-01 不適切な権限割り当て	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114828	Grafana 11.2.x < 11.2.3+security-01 不適切な権限割り当て	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
262265	Linux Distros のパッチ未適用の脆弱性: CVE-2024-9476	Nessus	Misc.	2025/9/10	2025/9/10	high
240840	SUSE SLES15 / openSUSE 15 セキュリティ更新Multi-Linux Manager Client ToolsSUSE-SU-2025:01989-1	Nessus	SuSE Local Security Checks	2025/6/27	2025/6/27	critical
211633	Grafana Labs の権限昇格 (CVE-2024-9476)	Nessus	Web Servers	2024/11/20	2025/2/6	medium
240835	SUSE SLES15/openSUSE 15 セキュリティ更新: grafana (SUSE-SU-2025:01991-1)	Nessus	SuSE Local Security Checks	2025/6/27	2025/6/27	critical
240808	SUSE SLES15 Multi-Linux Manager Server 用のセキュリティ更新 4.3.15SUSE-SU-2025:01985-1	Nessus	SuSE Local Security Checks	2025/6/27	2025/6/27	critical
240802	SUSE SLES12 セキュリティ更新Multi-Linux Manager Client ToolsSUSE-SU-2025:01987-1	Nessus	SuSE Local Security Checks	2025/6/27	2025/6/27	critical

検出

プラグインの検索

medium

medium

high

critical

medium

critical

critical

critical