自己報告されたバージョンによると、リモートホストでホストされているGrafanaのインストールは 8.5.26、より前の、より前の、 9.2.199.3.15より前の、 9.4.12より前の、 9.5.x9.5.3より前のです。そのため、以下の複数の脆弱性の影響を受けます。

- 認証がありませんの脆弱性。

- 同期が欠如している脆弱性。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2023:2917-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。ビューアーロールを持つユーザーは、ユーザーパネル UI からテストアラートを送信するオプションを利用できません。API はこの関数へのアクセスをチェックしないため、ビューアーロールを持つユーザーは、API を使用してテストアラートを送信できます。
    これにより、悪意のあるユーザーがこの機能を悪用して、複数のアラートメッセージを電子メールと Slack に送信したり、ユーザーにスパムを送信したりして、フィッシング攻撃を準備したり、SMTP サーバーをブロックしたりすることが可能です。ユーザーはバージョン 9.5.3、9.4.12、9.3.15、9.2.19、8.5.26 をアップグレードして、修正を受け取ることができます。(CVE-2023-2183)

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。パブリックダッシュボードを使用すると、ユーザーは混合クエリを使用して複数の異なるデータソースをクエリできます。ただし、このようなクエリでは Grfana インスタンスがクラッシュする可能性があります。現時点で混合クエリを使用する唯一の機能はパブリックダッシュボードですが、クエリ API を直接呼び出すことでこれを引き起こすことも可能です。これにより、悪意のあるユーザーがそのエンドポイントを介して Grafana インスタンスをクラッシュさせる可能性があります。ユーザーはバージョン 9.4.12および 9.5.3をアップグレードして、修正を受け取ることができます。
    (CVE-2023-2801)

  - Grafana は、メールのクレームに基づいて Azure AD アカウントを検証しています。Azure AD では、プロファイルのメールフィールドは一意ではなく、簡単に変更できます。これにより、Azure AD OAuth がマルチテナントアプリに設定されている場合、アカウント乗っ取りと認証バイパスが発生します。(CVE-2023-3128)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。パブリックダッシュボードを使用すると、ユーザーは混合クエリを使用して複数の異なるデータソースをクエリできます。ただし、このようなクエリでは Grfana インスタンスがクラッシュする可能性があります。現時点で混合クエリを使用する唯一の機能はパブリックダッシュボードですが、クエリ API を直接呼び出すことでこれを引き起こすことも可能です。これにより、悪意のあるユーザーがそのエンドポイントを介して Grafana インスタンスをクラッシュさせる可能性があります。ユーザーはバージョン 9.4.12および 9.5.3をアップグレードして、修正を受け取ることができます。
    (CVE-2023-2801)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、652064ef-056f-11ee-8e16-6c3be5272acdのアドバイザリに記載されている脆弱性の影響を受けます。

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。パブリックダッシュボードを使用すると、ユーザーは混合クエリを使用して複数の異なるデータソースをクエリできます。ただし、このようなクエリでは Grfana インスタンスがクラッシュする可能性があります。現時点で混合クエリを使用する唯一の機能はパブリックダッシュボードですが、クエリ API を直接呼び出すことでこれを引き起こすことも可能です。これにより、悪意のあるユーザーがそのエンドポイントを介して Grafana インスタンスをクラッシュさせる可能性があります。ユーザーはバージョン 9.4.12および 9.5.3をアップグレードして、修正を受け取ることができます。
    (CVE-2023-2801)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 7740 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。ビューアーロールを持つユーザーは、ユーザーパネル UI からテストアラートを送信するオプションを利用できません。API はこの関数へのアクセスをチェックしないため、ビューアーロールを持つユーザーは、API を使用してテストアラートを送信できます。
    これにより、悪意のあるユーザーがこの機能を悪用して、複数のアラートメッセージを電子メールと Slack に送信したり、ユーザーにスパムを送信したりして、フィッシング攻撃を準備したり、SMTP サーバーをブロックしたりすることが可能です。ユーザーはバージョン 9.5.3、9.4.12、9.3.15、9.2.19、8.5.26 をアップグレードして、修正を受け取ることができます。(CVE-2023-2183)

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。パブリックダッシュボードを使用すると、ユーザーは混合クエリを使用して複数の異なるデータソースをクエリできます。ただし、このようなクエリでは Grfana インスタンスがクラッシュする可能性があります。現時点で混合クエリを使用する唯一の機能はパブリックダッシュボードですが、クエリ API を直接呼び出すことでこれを引き起こすことも可能です。これにより、悪意のあるユーザーがそのエンドポイントを介して Grafana インスタンスをクラッシュさせる可能性があります。ユーザーはバージョン 9.4.12および 9.5.3をアップグレードして、修正を受け取ることができます。
    (CVE-2023-2801)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
114852	Grafana < 9.3.15 の複数の脆弱性	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114850	Grafana < 8.5.26 の複数の脆弱性	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114853	Grafana < 9.4.12 の複数の脆弱性	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114851	Grafana < 9.2.19 の複数の脆弱性	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114854	Grafana 9.5.x < 9.5.3 の複数の脆弱性	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
178694	SUSE SLED15/ SLES15/ openSUSE 15 セキュリティ更新: SUSE Manager Client Tools (SUSE-SU-2023:2917-1)	Nessus	SuSE Local Security Checks	2023/7/21	2023/11/2	critical
226522	Linux Distros のパッチ未適用の脆弱性: CVE-2023-2801	Nessus	Misc.	2025/3/5	2025/3/5	medium
176942	FreeBSD : Grafana -- Grafana DS プロキシの競合状態 (652064ef-056f-11ee-8e16-6c3be5272acd)	Nessus	FreeBSD Local Security Checks	2023/6/8	2023/6/14	medium
186760	RHEL 9: Red Hat Ceph Storage 6.1 (RHSA-2023: 7740)	Nessus	Red Hat Local Security Checks	2023/12/12	2024/11/7	medium

検出

プラグインの検索

medium

medium

medium

medium

medium

critical

medium

medium

medium