根据其自我报告的版本远程主机上托管的 Grafana 安装版本为低于 9.2.x9.2.17] 的 或低于 9.3.x9.3.13的 []或低于 9.4.x ] 的 9.4.9。因此受到将敏感信息暴露给未经授权的执行者漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Grafana 是用于监控和观察的开源平台。从 9.1 分支开始，Grafana 引入了在 URL 查询参数 auth_token 中搜索 JWT 并将其用作身份验证标记的功能。启用 url_login 配置选项（默认禁用），可能会向数据源发送 JWT。如果攻击者具有数据源的访问权限，则泄漏的标记可用于进行 Grafana 的身份验证。 (CVE-2023-1387)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114856	Grafana 9.3.x < 9.3.13 将敏感信息暴露给未经授权的攻击者	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	high
114855	Grafana 9.2.x < 9.2.17 将敏感信息暴露给未经授权的攻击者	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	high
114857	Grafana 9.4.x < 9.4.9 将敏感信息暴露给未经授权的攻击者	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	high
227254	Linux Distros 未修补的漏洞: CVE-2023-1387	Nessus	Misc.	2025/3/5	2025/3/5	high

检测

插件搜索

high

high

high

high