根据其自我报告的版本远程主机上托管的 Grafana 安装版本低于 10.4.17或 11.2.x 低于 11.2.8或 11.3.x 低于 11.3.5或 11.4.x 低于 11.4.3或 11.5.x 低于更改为 11.5.3。因此会受到不当授权的影响。

- Grafana 的数据源代理 API 允许通过在 URL 路径中添加额外斜线字符绕过授权检查。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Grafana Labs 版本受到 CVE-2025-3454 公告中提及的不当授权漏洞影响。 

  - 此漏洞存在于 Grafana 的数据源代理 API 中，攻击者可通过在 URL 路径中添加一个额外的斜线字符来绕过授权检查。具有最小权限的用户可在未经授权的情况下对 Alertmanager 和 Prometheus 数据源中的 GET 端点进行读取访问。此问题主要影响实现路由特定权限的数据源，包括 Alertmanager 和某些基于 Prometheus 的数据源。(CVE-2025-3454)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 此漏洞存在于 Grafana 的数据源代理 API 中，攻击者可通过在 URL 路径中添加一个额外的斜线字符来绕过授权检查。具有最小权限的用户可在未经授权的情况下对 Alertmanager 和 Prometheus 数据源中的 GET 端点进行读取访问。此问题主要影响实现路由特定权限的数据源，包括 Alertmanager 和某些基于 Prometheus 的数据源。(CVE-2025-3454)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114997	Grafana 11.4.x < 11.4.3 不当授权	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114994	Grafana < 10.4.17 不当授权	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114996	Grafana 11.3.x < 11.3.5 不当授权	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114995	Grafana 11.2.x < 11.2.8 不当授权	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
114998	Grafana 11.5.x < 11.5.3 不当授权	Web App Scanning	Component Vulnerability	2025/10/7	2025/10/7	medium
242132	Grafana Labs < 10.4.17+security-01、11.2.8+security-01、11.3.5+security-01、11.4.3+security-01、11.5.3+security-01、11.6.0+security-01 不当授权 (CVE-2025-3454)	Nessus	Web Servers	2025/7/15	2025/8/25	medium
251917	Linux Distros 未修补的漏洞：CVE-2025-3454	Nessus	Misc.	2025/8/19	2025/8/19	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium