Grafana Labs < 11.6.14+security-04 / 12.2.0 < 12.2.8+security-04 / 12.3.0 < 12.3.6+security-04 / 12.4.0 < 12.4.3+security-02 / 13.0.0 < 13.0.1+security-01 多個弱點
high Nessus Plugin ID 316482
語言:
概要
遠端主機缺少安全性更新。說明
遠端主機上安裝的 Grafana Labs 版本受到多個弱點的影響,包括:- Snapshot API 中的一個損壞的存取控制缺陷允許任何編輯器刪除儀表板快照,即使他們沒有讀取或寫入權限的快照。(CVE-2026-28380)
- 將 IPv6 允許清單用於驗證 Proxy 功能時,預設為 /32 位址,允許繞過預期的白名單。(CVE-2026-33376)
- 儀表板匯入會覆寫儀表板 ACL,允許編輯者覆寫不屬於其擁有的儀表板,並取得該特定儀表板上的管理員。(CVE-2026-33377)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
將 Grafana Labs 更新為 11.6.14+security-04、 12.2.8+security-04、 12.3.6+security-04、 12.4.3+security-02、 13.0.1+security-01 或更新版本。另請參閱
http://www.nessus.org/u?422499b2
http://www.nessus.org/u?efa9acae
http://www.nessus.org/u?afc20dc5
http://www.nessus.org/u?3f991c78
http://www.nessus.org/u?b0568e82
http://www.nessus.org/u?621b46b4
http://www.nessus.org/u?8b7b1484
http://www.nessus.org/u?b54f491c
Plugin 詳細資訊
嚴重性: High
ID: 316482
檔案名稱: grafana_13_0_1_01.nasl
版本: 1.2
類型: Remote
系列: Web Servers
已發布: 2026/5/22
已更新: 2026/5/25
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.0
CVSS v2
風險因素: High
基本分數: 7.5
時間性分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:C/A:N
CVSS 評分資料來源: CVE-2026-33377
CVSS v3
風險因素: High
基本分數: 7.4
時間性分數: 6.4
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2026-33376
弱點資訊
CPE: cpe:/a:grafana:grafana
必要的 KB 項目: installed_sw/Grafana Labs
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/5/13
弱點發布日期: 2026/5/13
參考資訊
CVE: CVE-2026-28374, CVE-2026-28376, CVE-2026-28379, CVE-2026-28380, CVE-2026-28383, CVE-2026-33376, CVE-2026-33377, CVE-2026-33378, CVE-2026-33380, CVE-2026-33381
IAVB: 2026-B-0128