根據其自我報告的版本遠端主機上主控的 Grafana 安裝版本為 10.4.17之前的 版或 11.2.x 之前的 11.2.8版或 11.3.x 之前的 11.3.5版或 11.4.x 之前的 11.4.3版或 11.5.x 之前的 []至 11.5.3。因此會受到不當授權影響。

- Grafana 的資料來源代理伺服器 API 允許透過在 URL 路徑中新增額外的斜線字元來繞過授權檢查。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Grafana Labs 版本受到 CVE-2025-3454 公告中提及的授權弱點影響。 

  - 此弱點是 Grafana 的資料來源代理伺服器 API，允許在 URL 路徑中新增額外的斜線字元，藉此繞過授權檢查。擁有最低權限的使用者可取得 Alertmanager 和 Prometheus 資料來源中 GET 端點的未經授權讀取存取權。問題主要會影響實作路由特定權限的資料來源，包括 Alertmanager 和某些 Prometheus 型資料來源。(CVE-2025-3454)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且廠商未提供可用的修補程式。

  - 此弱點是 Grafana 的資料來源代理伺服器 API，允許在 URL 路徑中新增額外的斜線字元，藉此繞過授權檢查。擁有最低權限的使用者可取得 Alertmanager 和 Prometheus 資料來源中 GET 端點的未經授權讀取存取權。問題主要會影響實作路由特定權限的資料來源，包括 Alertmanager 和某些 Prometheus 型資料來源。(CVE-2025-3454)

請注意，Nessus 依賴供應商報告的套件存在。

ID	名稱	產品	系列	已發布	已更新	嚴重性
114997	Grafana 11.4.x < 11.4.3 不當授權	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114995	Grafana 11.2.x < 11.2.8 不當授權	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114998	Grafana 11.5.x < 11.5.3 不當授權	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114994	Grafana < 10.4.17 不當授權	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114996	Grafana 11.3.x < 11.3.5 不當授權	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
242132	Grafana Labs < 10.4.17+security-01、11.2.8+security-01、11.3.5+security-01、11.4.3+security-01、11.5.3+security-01、11.6.0+security-01 不當授權 (CVE-2025-3454)	Nessus	Web Servers	2025/7/15	2025/8/25	medium
251917	Linux Distros 未修補的弱點：CVE-2025-3454	Nessus	Misc.	2025/8/19	2025/8/19	medium

偵測

搜尋 Plugin

medium

medium

medium

medium

medium

medium

medium