遠端主機上安裝的 Grafana Labs 版本受到多個弱點的影響，包括：
  - Snapshot API 中的一個損壞的存取控制缺陷允許任何編輯器刪除儀表板快照，即使他們沒有讀取或寫入權限的快照。（CVE-2026-28380）

  - 將 IPv6 允許清單用於驗證 Proxy 功能時，預設為 /32 位址，允許繞過預期的白名單。（CVE-2026-33376）

  - 儀表板匯入會覆寫儀表板 ACL，允許編輯者覆寫不屬於其擁有的儀表板，並取得該特定儀表板上的管理員。（CVE-2026-33377）

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Grafana Labs < 11.6.14+security-04 / 12.2.0 < 12.2.8+security-04 / 12.3.0 < 12.3.6+security-04 / 12.4.0 < 12.4.3+security-02 / 13.0.0 < 13.0.1+security-01 多個弱點

high Nessus Plugin ID 316482

版本 1.3

版本 1.2

版本 1.3 Jun 18, 2026, 10:27 AM CVSS metrics ("CVSSv2 score" set to 8.5) CVSS metrics ("CVSSv2 vector" set to "CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N") CVSS metrics ("CVSSv3 score" set to 8.1) CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N") CVSSv2 score source (changed from "CVE-2026-33377" to "CVE-2026-33381") CVSSv3 score source (changed from "CVE-2026-33376" to none) Plugin Feed: 202606181027
版本 1.2 May 25, 2026, 4:06 PM Exploit attributes ("Exploitability ease" set to "No known exploits are available") Exploit attributes ("Exploit available" set to "False") CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:U/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:U/RL:O/RC:C") Plugin Feed: 202605251606