自己報告されたバージョンによると、リモートホストでホストされているGrafanaインストールは、より前の、またはより前の 10.4.1711.2.8、 11.3.x11.2.x より前の 11.3.5、 11.4.x より前の 11.4.3、または 11.5.x より前のです。から 11.5.3。したがって、不適切な認証の影響を受けます。

- Grafana のデータソースプロキシ API では、URL パスに余分なスラッシュ文字を追加することで、承認チェックをバイパスできます。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートの SUSE Linux SLES15 / openSUSE 15 ホストには、SUSE-SU-2025:01991-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    grafana はバージョン 10.4.15 から 11.5.5 に更新されましたjsc#PED-12918

    - 修正されたセキュリティ問題:
        * CVE-2025-4123クロスサイトスクリプティングの脆弱性を修正しますbsc#1243714。
        * CVE-2025-22872golang.org/x/net/html を更新しますbsc#1241809
        * CVE-2025-3580サーバー認証されていないサーバー管理者の削除を阻止しますbsc#1243672。
        * CVE-2025-29923github.com/redis/go-redis/v9 を に更新します 9.6.3。
        * CVE-2025-3454ルートへのアクセスを評価する前にパスをサニタイズしますbsc#1241683。
        * CVE-2025-2703組み込み XY Chart プラグインを修正しますbsc#1241687。
        * CVE-2025-22870golang.org/x/net を更新しますbsc#1238703
        * CVE-2024-9476Migration Assistant の問題を修正bsc#1233343
        * CVE-2024-9264SQL 式bsc#1231844
        * CVE-2023-45288golang.org/x/net を更新しますbsc#1236510
        * CVE-2025-22870golang.org/x/net をバージョン に更新します 0.37.0bsc#1238686]

    - バージョン での潜在的な破損変更 11.5.0
        * Loki/series API の代わりにクエリパラメーターで /labels API をデフォルトにします。
    - バージョン での潜在的な破損変更 11.0.1
        * 以前に「Portugu?s Brasileiro」として言語を選択していた場合は、これはリセットされます。修正を適用するには、環境設定でもう一度選択する必要があり、翻訳が表示されます。
    - バージョン での潜在的な破損変更 11.0.0
        * AngularJS サポートはデフォルトではオフになっています。
        * 従来のアラートは完全に削除されます。
        * サブフォルダーは、名前にスラッシュがあるフォルダーで非常に稀な問題を引き起こします。
        * 入力データソースが削除されます。
        * データソース非表示のクエリに関連する応答は、Grafana によって削除フィルターされます。
        * 個別の繰り返しパネルを表示する際に生成される URL が変更されました。
        * React Router は廃止予定です。
        * grafana/e2e テストツールは廃止されました。

    - この更新により、多くの新機能、拡張機能、修正が提供されます (以下で説明されています):
      * https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-5/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-4/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-3/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-2/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-1/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-0/

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLES12 ホストには、SUSE-SU-2025:01987-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    golang-github-prometheus-prometheus はバージョン に更新されました 2.53.4

    - 修正されたセキュリティ問題:
      * CVE-2023-45288構築のための Go >= 1.23 が必要ですbsc#1236516
      * CVE-2025-22870golang.org/x/net をバージョン へ更新しました 0.39.0bsc#1238686

    - バージョン からのその他のバグ修正 2.53.4
      * Runtime空の prometheus.yml ファイルでインストールされたときに 0 に設定されていた GOGC を修正しました。これにより CPU 使用率が高くなります
      * Scrape以前の Scrape が失敗した後の有効なメトリクスのドロップを修正しました

    prometheus-blackbox_exporter は、バージョン 0.24.0 から 0.26.0 に更新されましたjsc#PED-12872

    - 修正されたセキュリティ問題:
      * CVE-2025-22870IPv6 ゾーン ID を使用するプロキシバイパスを修正しましたbsc#1238680
      * CVE-2023-45288受信するヘッダーが多すぎる場合の接続終了を修正bsc#1236515

    - バージョン からのその他の変更 0.26.0
      * 変更
        - go-kit/log を log/slog モジュールで置換します。
      * 機能
        - ハンドシェイク中にネゴシエートされた tls 暗号スイートを記録するためのメトリクスを追加します。
        - プローブによって一致するコンテンツ付きのラベルをエクスポートする方法を追加します。
          証明書のシリアル番号を報告します。
      * 拡張機能
        - 古いワークフローを追加し、Prometheus の stale.yaml との同期を開始します。
      * バグ修正
        - 正常なハンドシェイクで grpc TLS メトリクスのみを登録します。

    - バージョン からのその他の変更 0.25.0
      * 機能
        - ターゲットごとのプローブログの取得を許可。
        - プローブからのログエラー。
      * バグ修正
        - ロギングエラーメッセージを混同しないようにします。
        - 内部エクスポートメトリクスの明示的な登録。

    grafana はバージョン 10.4.15 から 11.5.5 に更新されましたjsc#PED-12918

    - 修正されたセキュリティ問題:
      * CVE-2025-4123クロスサイトスクリプティングの脆弱性を修正しますbsc#1243714。
      * CVE-2025-22872golang.org/x/net/html を更新しますbsc#1241809
      * CVE-2025-3580サーバー認証されていないサーバー管理者の削除を阻止しますbsc#1243672。
      * CVE-2025-29923github.com/redis/go-redis/v9 を に更新します 9.6.3。
      * CVE-2025-3454ルートへのアクセスを評価する前にパスをサニタイズしますbsc#1241683。
      * CVE-2025-2703組み込み XY Chart プラグインを修正しますbsc#1241687。
      * CVE-2025-22870golang.org/x/net を更新しますbsc#1238703
      * CVE-2024-9476Migration Assistant の問題を修正bsc#1233343
      * CVE-2024-9264SQL 式bsc#1231844
      * CVE-2023-45288golang.org/x/net を更新しますbsc#1236510
      * CVE-2025-22870golang.org/x/net をバージョン に更新します 0.37.0bsc#1238686]

    - バージョン での潜在的な破損変更 11.5.0
      * Loki/series API の代わりにクエリパラメーターで /labels API をデフォルトにします。

    - バージョン での潜在的な破損変更 11.0.1
      * 以前に「Portugu?s Brasileiro」として言語を選択していた場合は、これはリセットされます。修正を適用するには、環境設定でもう一度選択する必要があり、翻訳が表示されます。

    - バージョン での潜在的な破損変更 11.0.0
      * AngularJS サポートはデフォルトではオフになっています。
      * 従来のアラートは完全に削除されます。
      * サブフォルダーは、名前にスラッシュがあるフォルダーで非常に稀な問題を引き起こします。
      * 入力データソースが削除されます。
      * データソース非表示のクエリに関連する応答は、Grafana によって削除フィルターされます。
      * 個別の繰り返しパネルを表示する際に生成される URL が変更されました。
      * React Router は廃止予定です。
      * grafana/e2e テストツールは廃止されました。

    - この更新により、多くの新機能、拡張機能、修正が提供されます (以下で説明されています):
      * https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-5/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-4/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-3/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-2/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-1/* https://grafana.com/docs/grafana/next/whatsnew/whats-new-in-v11-0/

    golang-github-prometheus-node_exporter はバージョン に更新されました 1.9.1

    - 修正されたセキュリティ問題:
      * CVE-2025-22870golang.org/x/net をバージョン へ更新しました 0.37.0bsc#1238686


Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートの SUSE Linux SLES15 / openSUSE 15 ホストには、SUSE-SU-2025:01989-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    golang-github-prometheus-prometheus はバージョン に更新されました 2.53.4

    - 修正されたセキュリティ問題:
      * CVE-2023-45288構築のための Go >= 1.23 が必要ですbsc#1236516
      * CVE-2025-22870golang.org/x/net をバージョン へ更新しました 0.39.0bsc#1238686

    - バージョン からのその他のバグ修正 2.53.4
      * Runtime空の prometheus.yml ファイルでインストールされたときに 0 に設定されていた GOGC を修正しました。これにより CPU 使用率が高くなります
      * Scrape以前の Scrape が失敗した後の有効なメトリクスのドロップを修正しました

    prometheus-blackbox_exporter は、バージョン 0.24.0 から 0.26.0 に更新されましたjsc#PED-12872

    - 修正されたセキュリティ問題:
      * CVE-2025-22870IPv6 ゾーン ID を使用するプロキシバイパスを修正しましたbsc#1238680
      * CVE-2023-45288受信するヘッダーが多すぎる場合の接続終了を修正bsc#1236515

    - バージョン からのその他の変更 0.26.0
      * 変更
        - go-kit/log を log/slog モジュールで置換します。
      * 機能
        - ハンドシェイク中にネゴシエートされた tls 暗号スイートを記録するためのメトリクスを追加します。
        - プローブによって一致するコンテンツ付きのラベルをエクスポートする方法を追加します。
          証明書のシリアル番号を報告します。
      * 拡張機能
        - 古いワークフローを追加し、Prometheus の stale.yaml との同期を開始します。
      * バグ修正
        - 正常なハンドシェイクで grpc TLS メトリクスのみを登録します。


Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

リモートホストにインストールされた Grafana Labs のバージョンは、CVE-2025-3454 のアドバイザリに記載されている不適切な認証の脆弱性の影響を受けます。 

  - Grafana のデータソースプロキシ API のこの脆弱性により、URL パスに余分なスラッシュ文字を追加することで、認証チェックをバイパスできます。最小限のアクセス許可を持つユーザーが、Alertmanager および Prometheus データソースの GET エンドポイントに対する認証されない読み取りアクセスを取得する可能性があります。この問題は、Alertmanager および特定の Prometheus ベースのデータソースを含む、ルート固有のアクセス許可を実装するデータソースに主に影響を与えます。(CVE-2025-3454)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Grafana のデータソースプロキシ API のこの脆弱性により、URL パスに余分なスラッシュ文字を追加することで、認証チェックをバイパスできます。最小限のアクセス許可を持つユーザーが、Alertmanager および Prometheus データソースの GET エンドポイントに対する認証されない読み取りアクセスを取得する可能性があります。この問題は、Alertmanager および特定の Prometheus ベースのデータソースを含む、ルート固有のアクセス許可を実装するデータソースに主に影響を与えます。(CVE-2025-3454)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの SUSE Linux SLES15 ホストには、SUSE-SU-2025:01985-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    release-notes-susemanager

    - SUSE Manager への更新 4.3.15.2
      * SUSE Manager 4.3 は、2025 年 6 月以降 LTS に移行します
      * CVE 修正済み CVE-2023-45288、 CVE-2024-11741、 CVE-2024-45337、 CVE-2024-45339 CVE-2024-51744、 CVE-2024-9264、 CVE-2024-9476、 CVE-2025-22870 CVE-2025-22872、 CVE-2025-2703 CVE-2025-27144、 CVE-2025-3454 CVE-2025-3580、 CVE-2025-4123、 CVE-2024-47535

Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
114997	Grafana 11.4.x < 11.4.3 不適切な認証	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114995	Grafana 11.2.x < 11.2.8 不適切な認証	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114998	Grafana 11.5.x < 11.5.3 不適切な認証	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114994	Grafana < 10.4.17 不適切な認証	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114996	Grafana 11.3.x < 11.3.5 不適切な認証	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
240835	SUSE SLES15/openSUSE 15 セキュリティ更新: grafana (SUSE-SU-2025:01991-1)	Nessus	SuSE Local Security Checks	2025/6/27	2025/6/27	critical
240802	SUSE SLES12 セキュリティ更新Multi-Linux Manager Client ToolsSUSE-SU-2025:01987-1	Nessus	SuSE Local Security Checks	2025/6/27	2025/6/27	critical
240840	SUSE SLES15 / openSUSE 15 セキュリティ更新Multi-Linux Manager Client ToolsSUSE-SU-2025:01989-1	Nessus	SuSE Local Security Checks	2025/6/27	2025/6/27	critical
242132	Grafana Labs < 10.4.17+security-01、11.2.8+security-01,、11.3.5+security-01、11.4.3+security-01、11.5.3+security-01、11.6.0+security-01 不適切な認証 (CVE-2025-3454)	Nessus	Web Servers	2025/7/15	2025/8/25	medium
251917	Linux Distros のパッチ未適用の脆弱性: CVE-2025-3454	Nessus	Misc.	2025/8/19	2025/8/19	medium
240808	SUSE SLES15 Multi-Linux Manager Server 用のセキュリティ更新 4.3.15SUSE-SU-2025:01985-1	Nessus	SuSE Local Security Checks	2025/6/27	2025/6/27	critical

検出

プラグインの検索

medium

medium

medium

medium

medium

critical

critical

critical

medium

medium

critical