根據其自我報告版本，遠端主機所託管的 Grafana 安裝時間在 11.6.9之前，或12.0.x12.0.8是在 之前，或12.1.512.1.x在 之前，或12.3.x12.2.x12.2.312.3.1在 之前。因此會受到多個弱點影響。

- 平台支援用戶擁有自己的虛擬形象，這些頭像可從 Gravatar 服務 API 取得。這會使用快取，確保服務不會過載。如果這些請求在 3 秒後逾時，Goroutine 就會永遠運行。若攻擊者重複這些請求，可能會導致拒絕服務（DoS）。

- 若使用者在某個儀表板擁有權限管理權限，則可編輯任何其他儀表板的權限。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端主機上安裝的 Grafana Labs 版本受到 CVE-2026-21720 公告中提及的一個拒絕服務弱點影響。 

  - 每個未快取的 /avatar/:hash 要求都會衍生一個會重新整理 Gravatar 影像的 goroutine。如果重新整理在 10 插槽背景工作佇列中停留的時間超過三秒，處置程式會逾時並停止接聽結果，以便 goroutine 永遠封鎖嘗試在未緩衝通道上進行傳送。具有隨機雜湊的持續流量不斷觸發此逾時，因此 goroutine 計數線性成長，最終耗盡記憶體並造成 Grafana 在某些系統上損毀。(CVE-2026-21720)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 每個未快取的 /avatar/:hash 要求都會衍生一個會重新整理 Gravatar 影像的 goroutine。如果重新整理在 10 插槽背景工作佇列中停留的時間超過三秒處置程式就會逾時並停止接聽結果以便 goroutine 永遠封鎖嘗試在未緩衝的通道上傳送的資料。具有隨機雜湊的持續流量不斷超出此逾時限制因此 goroutine 計數線性增加最終耗盡記憶體並造成 Grafana 在某些系統上損毀。 (CVE-2026-21720)

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

ID	名稱	產品	系列	已發布	已更新	嚴重性
115196	Grafana <12.3.x12.3.1多重漏洞	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	high
115194	Grafana <12.1.x12.1.5多重漏洞	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	high
115195	Grafana <12.2.x12.2.3多重漏洞	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	high
115192	Grafana < 11.6.9 多項漏洞	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	high
115193	Grafana <12.0.x12.0.8多重漏洞	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	high
297198	Grafana Labs 3.0.0 < 11.6.9+security-01 / 12.0.0 < 12.0.8+security-01 / 12.1.0 < 12.1.5+security-01 / 12.2.0 < 12.2.3+security-01 / 12.3.0 < 12.3.1+security-01 DoS (CVE-2026-21720)	Nessus	Web Servers	2026/1/30	2026/4/30	high
297404	Linux Distros 未修補的弱點：CVE-2026-21720	Nessus	Misc.	2026/1/31	2026/1/31	high

偵測

搜尋 Plugin

high

high

high

high

high

high

high