根據其自我報告的版本遠端主機上託管的 Grafana 安裝是 10.3.x 之前的 10.3.10或 10.4.x10.4.9] 之前的 或 11.0.x 之前的 11.0.5或 11.1.x11.1.6之前的  ] 或 11.2.x 比 11.2.1舊。因此，會受到多個弱點影響：

- 一個程式碼插入弱點。

- 一個不當隔離或區域化弱點。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - Grafana 的 SQL 運算式實驗功能允許評估包含使用者輸入的 `duckdb` 查詢。這些查詢在傳遞至 `duckdb` 之前未經過充分清理進而導致命令插入和本機檔案包含弱點。具有 VIEWER 或更高權限的任何使用者皆可發動此攻擊。`duckdb` 二進位必須存在於 Grafana 的 $PATH 中此攻擊才會生效依預設此二進位並未安裝在 Grafana 發行版本中。
    (CVE-2024-9264)

請注意，Nessus 依賴供應商報告的套件存在。

遠端主機上安裝的 Grafana Labs 版本受到 CVE-2024-9264 公告中提及的一個弱點影響。

  - Grafana 的 SQL 運算式實驗功能允許評估包含使用者輸入的 'duckdb' 查詢。這些查詢在傳遞至 'duckdb' 之前未經過充分清理，進而導致命令注入和本機檔案包含弱點。任何具有 VIEWER 或更高權限的使用者皆可發動此攻擊。「duckdb」二進位必須存在於 Grafana 的 $PATH 中，此攻擊才會生效；根據預設，此二進位並未安裝在 Grafana 發行版本中。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
114830	Grafana 10.3.x < 10.3.10 多個弱點	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	critical
114834	Grafana 11.2.x < 11.2.1 多個弱點	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	critical
114833	Grafana 11.1.x < 11.1.6 多個弱點	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	critical
114831	Grafana 10.4.x < 10.4.9 多個弱點	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	critical
114832	Grafana 11.0.x < 11.0.5 多個弱點	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	critical
262080	Linux Distros 未修補的弱點：CVE-2024-9264	Nessus	Misc.	2025/9/10	2025/9/10	high
211576	允許 RCE 的 Grafana Labs SQL 運算式 (CVE-2024-9264)	Nessus	Web Servers	2024/11/19	2024/11/20	high

偵測

搜尋 Plugin

critical

critical

critical

critical

critical

high

high