The version of Grafana Labs installed on the remote host is affected by a vulnerability as referenced in the CVE-2025-3260 advisory. Grafana's datasource proxy API allows authorization checks to be bypassed by adding an extra slash character in the URL path. Users with minimal permissions could gain unauthorized read access to GET endpoints in Alertmanager and Prometheus datasources. The issue primarily affects datasources that implement route-specific permissions, including Alertmanager and certain Prometheus-based datasources.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - A security vulnerability in the /apis/dashboard.grafana.app/* endpoints allows authenticated users to     bypass dashboard and folder permissions. The vulnerability affects all API versions (v0alpha1, v1alpha1,     v2alpha1). Impact: - Viewers can view all dashboards/folders regardless of permissions - Editors can     view/edit/delete all dashboards/folders regardless of permissions - Editors can create dashboards in any     folder regardless of permissions - Anonymous users with viewer/editor roles are similarly affected     Organization isolation boundaries remain intact. The vulnerability only affects dashboard access and does     not grant access to datasources. (CVE-2025-3260)

Note that Nessus relies on the presence of the package as reported by the vendor.

リモートホストにインストールされた Grafana Labs のバージョンは、CVE-2025-3260 のアドバイザリに記載されている脆弱性の影響を受けます。Grafana のデータソースプロキシ API では、URL パスに余分なスラッシュ文字を追加することで、承認チェックをバイパスできます。最小限のアクセス許可を持つユーザーが、Alertmanager および Prometheus データソースの GET エンドポイントに対する認証されない読み取りアクセスを取得する可能性があります。この問題は、Alertmanager および特定の Prometheus ベースのデータソースを含む、ルート固有のアクセス許可を実装するデータソースに主に影響を与えます。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - /apis/dashboard.grafana.app/* エンドポイントのセキュリティ脆弱性により、認証されたユーザーが、ダッシュボードやフォルダーの権限をバイパスすることが可能です。この脆弱性は、すべての API バージョン (v0alpha1、v1alpha1、v2alpha1) に影響します。影響 - 閲覧者は権限に関係なくすべてのダッシュボード/フォルダーを表示できます - エディターは権限に関係なくすべてのダッシュボード/フォルダーを表示/編集/削除できます - エディターは権限に関係なくダッシュボードを作成できます - ビューアー/エディターのロールを持つ匿名ユーザーも同様の影響を受けます組織の隔離境界が維持されます。この脆弱性はダッシュボードのアクセスにのみ影響を与え、データソースへのアクセスを許可しません。CVE-2025-3260

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

遠端主機上安裝的 Grafana Labs 版本受到 CVE-2025-3260 公告中提及的一個弱點影響。Grafana 的資料來源代理伺服器 API 允許透過在 URL 路徑中新增額外的斜線字元繞過授權檢查。擁有最低權限的使用者可取得 Alertmanager 和 Prometheus 資料來源中 GET 端點的未經授權讀取存取權。問題主要會影響實作路由特定權限的資料來源，包括 Alertmanager 和某些 Prometheus 型資料來源。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - /apis/dashboard.grafana.app/* 端點中的一個安全性弱點允許經驗證的使用者繞過儀表板和資料夾權限。此弱點會影響所有 API 版本 (v0alpha1、v1alpha1、v2alpha1)。影響： - 檢視者可不管權限為何檢視所有儀表板/資料夾 - 編輯者可不管權限為何檢視/編輯/刪除所有儀表板/資料夾 - 編輯者可不管權限為何在任何資料夾中建立儀表板 - 具有檢視/編輯角色的匿名使用者受到類似影響組織隔離邊界保持不變。此弱點只會影響儀表板存取權不會授予資料來源存取權。 (CVE-2025-3260)

請注意，Nessus 依賴供應商報告的套件存在。

远程主机上安装的 Grafana Labs 版本受到 CVE-2025-3260 公告中提及的一个漏洞的影响。Grafana 的数据源代理 API 允许通过在 URL 路径中添加一个额外的斜线字符来绕过授权检查。具有最小权限的用户可在未经授权的情况下对 Alertmanager 和 Prometheus 数据源中的 GET 端点进行读取访问。问题主要影响实现路由特定权限的数据源，包括 Alertmanager 和某些基于 Prometheus 的数据源。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - /apis/dashboard.grafana.app/* 端点中的一个安全漏洞允许经认证的用户绕过仪表盘和文件夹权限。此漏洞影响所有 API 版本v0alpha1、v1alpha1、v2alpha1。影响 - 查看者可查看所有仪表盘/文件夹，无论权限如何 - 编辑者可查看/编辑/删除所有仪表盘/文件夹，无论权限如何 - 编辑者可在任何文件夹中创建仪表盘，无论权限如何 - 具有查看者/编辑者角色的匿名用户会受到类似的影响组织隔离边界保持不变。此漏洞仅影响仪表盘访问权限不会授予对数据源的访问权限。 (CVE-2025-3260)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
237905	Grafana Labs < 11.6.1+security-01 Authorization Bypass (CVE-2025-3260)	Nessus	Web Servers	2025/6/6	2025/6/6	medium
250895	Linux Distros Unpatched Vulnerability : CVE-2025-3260	Nessus	Misc.	2025/8/18	2025/8/18	high
237905	Grafana Labs < 11.6.1+security-01 の認証バイパス (CVE-2025-3260)	Nessus	Web Servers	2025/6/6	2025/6/6	medium
250895	Linux Distros のパッチ未適用の脆弱性: CVE-2025-3260	Nessus	Misc.	2025/8/18	2025/8/18	high
237905	Grafana Labs < 11.6.1+security-01 授權繞過 (CVE-2025-3260)	Nessus	Web Servers	2025/6/6	2025/6/6	medium
250895	Linux Distros 未修補的弱點：CVE-2025-3260	Nessus	Misc.	2025/8/18	2025/8/18	high
237905	Grafana Labs < < 11.6.1+security-01 授权绕过 (CVE-2025-3260)	Nessus	Web Servers	2025/6/6	2025/6/6	medium
250895	Linux Distros 未修补的漏洞：CVE-2025-3260	Nessus	Misc.	2025/8/18	2025/8/18	high

検出

プラグインの検索

medium

high

medium

high

medium

high

medium

high