リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、6548cb01-4c33-11f0-8a97-6c3be5272acd のアドバイザリに記載されている脆弱性の影響を受けます。

    Grafana Labsのレポート
    設定を見落として、DingDing アラート統合 URL が意図せずビューアーに漏洩するというインシデントが発生しました。これはバグ確認レポートを通じて分かりました。
    この脆弱性の CVSS 3.0 スコアは 4.3 重要度中です。

Tenable は、前述の記述ブロックを FreeBSD セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLES15 / openSUSE 15 ホストには、SUSE-SU-2025:4482-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    grafana がバージョン 11.5.5 から 11.5.10 に更新されました。

    - 修正されたセキュリティ問題:

      * CVE-2025-64751Zanzana サーバー/クライアントの承認の実験的実装をドロップしましたバージョン 11.5.10bsc#1254113
      * CVE-2025-47911HTML ドキュメントの解析を修正しましたバージョン 11.5.10bsc#1251454]
      * CVE-2025-58190過剰なメモリ消費を修正しましたバージョン 11.5.10bsc#1251657]
      * CVE-2025-11065ログの機密情報の漏洩を修正しましたバージョン 11.5.9bsc#1250616]
      * CVE-2025-6023スクリプト化されたダッシュボードを介するクロスサイトスクリプティングを修正しましたバージョン 11.5.7bsc#1246735
      * CVE-2025-6197組織の切り替えでのオープンリダイレクトを修正しましたバージョン 11.5.7、bsc#1246736]
      * CVE-2025-3415DingDing アラート統合 URL のビューアーレベルユーザーへの漏洩を修正しましたバージョン 11.5.6bsc#1245302


Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLES15/openSUSE 15 ホストには、SUSE-SU-2026:1037-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    - 修正されたセキュリティ問題:

      - CVE-2026-21722公開ダッシュボード注釈時間選択が無効な場合はダッシュボードの時間範囲を使用しますbsc#1258136
      - CVE-2026-21721ダッシュボード権限 API によるアクセスコントロールを修正しましたbsc#1257337
      - CVE-2026-21720認証されていない DoS を修正しましたbsc#1257349
      - CVE-2025-68156ビルトイン関数の無限再帰を通じた潜在的な DoS を修正しましたbsc#1255340
      - CVE-2025-3415DingDing アラート統合 URL のビューアーレベルユーザーへの漏洩を修正しましたbsc#1245302

    - 次のハイライトされた変更と修正を含む 11.5.10 から 11.6.11 のバージョン更新

      - パフォーマンス向上: よりスムーズなマップ視覚化のために WebGL 搭載のジオマップを導入し、UI オーバーレイからぼやけた背景を削除してインターフェースを高速化しました。
      - ワンクリックアクション: ビジュアライゼーションで、ワンクリックのリンクおよびアクションを使用したより迅速なナビゲーションがサポートされるようになりました。
      - アラート履歴: アラートルールにバージョン履歴が追加され、経時的に変更を追跡できるようになりました。
      - サービスアカウント: 起動時に古い API キーをより安全なサービスアカウントに自動移行します。
      - Cron サポート: 注釈が Cron 構文をサポートし、より柔軟なスケジューリングができるようになりました。
      - ID および認証Avatar 機能が強化され現在はサインインが必要、Grafana がサブパスでホストされている場合に発生するいくつかのログインリダイレクト問題が修正されました。
      - データソースのサポート: Cloud Partner Prometheus データソースのサポートを追加し、Azure 凡例のフォーマットを改善しました。
      - アラート制限: 拡張された通知テンプレートのサイズ制限を追加し、システムがストレスをためないようにしました。
      - RBAC: ロールベースのアクセス制御 (RBAC) を、reqAction フィールドを介して Alertmanager に統合しました。
      - データの一貫性: Graphite と InfluxDB で、繰り返しの行またはネスト化されたクエリで変数が処理される方法に関するいくつかの問題を修正しました。
      - ダッシュボードの信頼性: 行の繰り返しと「自己参照」データリンクに関連するバグを解決しました。
      - アラートの修正: アラートルールでの競合状態によって引き起こされる重大な「パニック」クラッシュにパッチが適用され、連絡先が正しく機能しない問題が修正されました。
      - URL 処理URL パラメーターの「true」値が正しく読み取られないバグを修正しました

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされた Grafana Labs のバージョンは、CVE-2025-3415 のアドバイザリに記載されている脆弱性の影響を受けます。 

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。Grafana Alerting DingDing 統合が適切に保護されておらず、閲覧者アクセス許可を持つユーザーに漏洩する可能性がありました。(CVE-2025-3415)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。Grafana Alerting DingDing 統合が適切に保護されず、 Viewer 権限を持つユーザーに漏洩する可能性があります。バージョン 10.4.19+security-01、 11.2.10+security-01、 11.3.7+security-01、 11.4.5+security-01、 11.5.5] +security-01、 11.6.2+security-01 および 12.0.1+security-01 で修正済み01CVE-2025-3415

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの SUSE Linux SLES15/ openSUSE 15 ホストには、SUSE-SU-2026:1013-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    dracut-saltboot:

    - 1.1.0 へのバージョン更新:

      * DHCP リクエストを最大 3 回再試行します (bsc#1253004)

    golang-github-QubitProducts-exporter_exporter:

    - 非顧客対応の最適化と更新

    golang-github-boynux-squid_exporter:

    - 次のハイライトされた変更と修正を含む 1.6.0 から 1.13.0 へのバージョン更新 (jsc#PED-14971):

      * Squid 6 に対する互換性および squid-internal-mgr メトリクスパスに対するサポートを追加しました
      * TLS および基本認証をエクスポーターウェブインターフェースに追加しました
      * Squid プロキシ自体に対して認証するためのエクスポージャーのサポートを追加しました
      * root 権限を必要とせずにプロセス情報を収集できるようにします
      * エクスポーターは、環境変数を使用して設定できるようになりました
      * データフィルタリングを改善するために、すべてのエクスポートされたメトリクスにカスタムラベルのサポートを追加しました
      * Squid が実行中かどうか (squid_up)、スクレイプにかかる時間、エラーが発生したかどうかを追跡するための新しいメトリクス
      * プロキシの速度とパフォーマンスを分析するために「サービス時間」メトリクスを追加しました。
      * 接続のボトルネックを防ぐために、オープンファイル記述子のメトリクス (process_open_fds) を追加しました
      * 正確なレポートを確保するために、squid_client_http_requests_total メトリクスを修正しました


    golang-github-lusitaniae-apache_exporter:

    - 1.0.8 から 1.0.10 へのバージョン更新:

      * github.com/prometheus/client_golang を 1.21.1 に更新しました 
      * github.com/prometheus/common を 0.63.0 に更新しました 
      * github.com/prometheus/exporter-toolkit を 0.14.0 に更新しました 
      * シグナルハンドラーロギングを修正しました

    golang-github-prometheus-prometheus:

    - 修正されたセキュリティ問題:

      * CVE-2026-27606: ロールアップのパストラバーサルによる任意のファイル書き込みを修正しました (bsc#1258893)
      * CVE-2026-25547: 過剰な CPU およびメモリ消費を引き起こすブレース範囲の拡張を修正しました (bsc#1257841)
      * CVE-2026-1615、CVE-2025-61140 セキュリティの問題により、古い Web UI はもはや構築されません (bsc#1257897、bsc#1257442)
      * CVE-2025-13465: lodash パッケージをバージョン 4.17.23 に更新し、プロトタイプ汚染の脆弱性を修正します (bsc#1257329)
      * CVE-2025-12816: 暗号化検証のバイパスを可能にする解釈競合の脆弱性 (bsc#1255588)

    - 次のハイライトされた変更を含む 2.53.4 から 3.5.0 へのバージョン更新 (jsc#PED-13824):

      * インターフェースの刷新: 全く新しい UI を導入しました
      * クラウドおよび認証の強化: AWS サービス検出 (EC2、ECS、Lightsail) および Azure Workload Identity サポートが追加され、より安全なネイティブクラウド認証が可能になりました。
      * パフォーマンス標準: OpenTelemetry (OTLP) 取り込みを完全に統合し、ネイティブヒストグラムを実験的機能から安定版機能へ移行しました。
      * 高度なデータエクスポート: リモート書き込み 2.0 をロールアウトし、データを外部システムに送信する際にパフォーマンスとメタデータ処理が向上しました。
      * クエリパワー: PromQL 関数 (first_over_time や last_over_time など) を追加し、グループ化操作を最適化しました
      * 可視性の向上: UI に詳細な再ラベル付け手順、スクレイプ間隔、タイムアウトが表示されるようになり、ターゲットが正しく報告されない理由のトラブルシューティングが容易になりました。
      * 重要な修正: クエリロギングに関連する重大なメモリ漏洩を解決し、ターゲットが意図せず複数回スクレイプされるバグを修正しました

    grafana:

    - 修正されたセキュリティ問題:

      * CVE-2026-21722: 公開ダッシュボード注釈: 時間選択が無効な場合はダッシュボードの時間範囲を使用します (bsc#1258136)
      * CVE-2026-21721: ダッシュボードアクセス許可 API によるアクセスコントロールを修正しました (bsc#1257337)
      * CVE-2026-21720: 認証されていない DoS を修正しました (bsc#1257349)
      * CVE-2025-68156: ビルトイン関数の無限再帰を通じた潜在的な DoS を修正しました (bsc#1255340)
      * CVE-2025-3415: DingDing アラート統合 URL のビューアーレベルユーザーへの漏洩を修正しました (bsc#1245302)

    - 次のハイライトされた変更と修正を含む 11.5.10 から 11.6.11 へのバージョン更新:

      * パフォーマンス向上: よりスムーズなマップ視覚化のために WebGL ベースのジオマップを導入し、UI オーバーレイからぼやけた背景を削除してインターフェースを高速化しました
      * ワンクリックアクション: ビジュアライゼーションで、ワンクリックのリンクとアクションを介したよりすばやいナビゲーションをサポートするようになりました
      * アラート履歴: アラートルールにバージョン履歴が追加され、時間の経過に伴う変更を追跡できるようになりました
      * サービスアカウント: 起動時に古い API キーをより安全なサービスアカウントに自動的に移行するようにしました
      * Cron サポート: 注釈では、より柔軟なスケジューリングのために Cron 構文をサポートするようになりました
      * ID および認証: Avatar 機能を強化し (現在はサインインが必要)、Grafana がサブパスでホストされている場合のいくつかのログインリダイレクト問題を修正しました
      * データソースのサポート: Cloud Partner Prometheus データソースのサポートを追加し、Azure 凡例フォーマットを改善しました
      * アラート制限: システムのストレスを回避するために、拡張された通知テンプレートのサイズ制限を追加しました
      * RBAC: ロールベースのアクセスコントロール (RBAC) を、reqAction フィールドを通じて Alertmanager に統合しました
      * データの一貫性: 繰り返しの行またはネスト化されたクエリで変数が処理される方法に関する Graphite と InfluxDB のいくつかの問題を修正しました
      * ダッシュボードの信頼性: 行の繰り返しと「自己参照」データリンクに関連するバグを解決しました
      * アラート修正: アラートルールの競合状態によって引き起こされる重大な「パニック」(クラッシュ) にパッチが適用され、連絡先が正しく機能しない問題が修正されました
      * URL 処理: URL パラメーターの「true」値が正しく読み取られなかったバグを修正しました

    prometheus-blackbox_exporter:

    - 非顧客対応の最適化と更新

    spacecmd: 

    - 5.0.15 へのバージョン更新:

      * spacecmd のヘルプ ca-cert フラグにある誤字を修正しました (bsc#1253174)
      * キャッシュされた ID を整数値に変換します (bsc#1251995)
      * spacecmd のバイナリファイルのアップロードを修正しました (bsc#1253659)

    uyuni-tools:

    - 0.1.38 へのバージョン更新:

      * スタンドアロンファイルに移行する際の cobbler 構成を修正しました (bsc#1256803)
      * /etc/uyuuni/proxy フォルダーのカスタム apache および squid 構成を検出します
      * sshd を構成するために ssh 調整を追加します (bsc#1253738)
      * Supportconfig エラーを無視します (bsc#1255781)
      * デフォルトのイメージタグを 5.0.7 へ更新
      * podman コンテナ用の cgroup マウントを削除 (bsc#1253347)
      * レジストリフラグは文字列の可能性があります (bsc#1254589)
      * 静的 supportconfig 名を使用して動的検索を回避 (bsc#1257941)

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの openSUSE 15 ホストには、SUSE-SU-2025:4458-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    dracut-saltboot

    - バージョン 1.0.0 に更新してください
      * ソルトキータイムアウトでの再起動bsc#1237495
      * 名前に空白があるファイルの解析を修正しましたbsc#1252100

    grafana がバージョン 11.5.5 から 11.5.10 に更新されました。

    - 修正されたセキュリティ問題:

      * CVE-2025-47911HTML ドキュメントの解析を修正bsc#1251454
      * CVE-2025-58190過剰なメモリ消費を修正しますbsc#1251657
      * CVE-2025-64751Zanzana サーバー/クライアントの承認の実験的実装をドロップしますbsc#1254113
      * CVE-2025-11065ログの機密情報の漏洩を修正しましたバージョン 11.5.9bsc#1250616]
      * CVE-2025-6023スクリプト化されたダッシュボードを介するクロスサイトスクリプティングを修正しましたバージョン 11.5.7bsc#1246735
      * CVE-2025-6197組織の切り替えでのオープンリダイレクトを修正しましたバージョン 11.5.7、bsc#1246736]
      * CVE-2025-3415DingDing アラート統合 URL のビューアーレベルユーザーへの漏洩を修正しましたバージョン 11.5.6bsc#1245302


Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
240187	FreeBSDGrafana -- Grafana Alerting で漏洩した DingDing コンタクトポイント6548cb01-4c33-11f0-8a97-6c3be5272acd	Nessus	FreeBSD Local Security Checks	2025/6/19	2026/1/21	high
279356	SUSE SLES15/openSUSE 15 セキュリティ更新: grafana (SUSE-SU-2025:4482-1)	Nessus	SuSE Local Security Checks	2025/12/19	2026/2/23	medium
303789	SUSE SLES15/openSUSE 15 セキュリティ更新: grafana (SUSE-SU-2026:1037-1)	Nessus	SuSE Local Security Checks	2026/3/26	2026/4/30	high
242626	Grafana Labs の統合 URL が閲覧者に漏洩 (CVE-2025-3415)	Nessus	Web Servers	2025/7/23	2026/1/21	medium
244247	Linux Distros のパッチ未適用の脆弱性: CVE-2025-3415	Nessus	Misc.	2025/8/6	2025/9/1	medium
303779	SUSE SLES15 / openSUSE 15 : Multi-Linux Manager Client Tools のセキュリティ更新 5.0.7 (SUSE-SU-2026:1013-1)	Nessus	SuSE Local Security Checks	2026/3/26	2026/3/26	critical
279353	openSUSE 15Multi-Linux Manager Client Tools 用のセキュリティ更新 5.0.6SUSE-SU-2025:4458-1	Nessus	SuSE Local Security Checks	2025/12/19	2025/12/19	high

検出

プラグインの検索

high

medium

high

medium

medium

critical

high