根据其自我报告的版本远程主机上托管的 Grafana 安装版本为低于 9.2.x9.2.17] 的 或低于 9.3.x9.3.13的 []或低于 9.4.x ] 的 9.4.9。因此受到将敏感信息暴露给未经授权的执行者漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Grafana 是用于监控和观察的开源平台。从 9.1 分支开始Grafana 引入了在 URL 查询参数 auth_token 中搜索 JWT 并将其用作身份验证令牌的功能。通过启用 url_login 配置选项默认禁用JWT 可能会被发送到数据源。如果攻击者拥有数据源的访问权限则泄漏的标记可用于对 Grafana 进行身份验证。 (CVE-2023-1387)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114856	Grafana 9.3.x < 9.3.13 将敏感信息暴露给未经授权的攻击者	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	high
114855	Grafana 9.2.x < 9.2.17 将敏感信息暴露给未经授权的攻击者	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	high
114857	Grafana 9.4.x < 9.4.9 将敏感信息暴露给未经授权的攻击者	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	high
227254	Linux Distros 未修补的漏洞：CVE-2023-1387	Nessus	Misc.	2025/3/5	2025/9/3	high

检测

插件搜索

high

high

high

high