According to its self-reported version, the Grafana install hosted on the remote host is earlier than 9.2.10, or 9.3.x earlier than 9.3.4. It is, therefore, affected by a cross-site scripting vulnerability.

Note that the scanner has not tested for these issues but has instead relied only on the application's self-reported version number.

自己報告されたバージョンによると、リモートホストでホストされている Grafana のインストールは 9.2.10より前の 、または 9.3.49.3.x より前の です。したがって、クロスサイトスクリプティングの脆弱性による影響を受けます。

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

根据其自我报告的版本远程主机上托管的 Grafana 安装版本低于 9.2.10或低于 9.3.x ] 的 9.3.4。因此，它受到跨站脚本漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

根據其自我報告的版本遠端主機上主控的 Grafana 安裝是比 9.2.10舊的 版或是比 9.3.x 舊的 9.3.4版。因此受到一個跨網站指令碼弱點的影響。

請注意，掃描器程式並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

The version of FreeBSD installed on the remote host is prior to tested version. It is, therefore, affected by a vulnerability as referenced in the 6dccc186-b824-11ed-b695-6c3be5272acd advisory.

  - Grafana is an open-source platform for monitoring and observability. On 2023-01-01 during an internal     audit of Grafana, a member of the security team found a stored XSS vulnerability affecting the core plugin     Text. The stored XSS vulnerability requires several user interactions in order to be fully exploited.
    The vulnerability was possible due to React's render cycle that will pass though the unsanitized HTML     code, but in the next cycle the HTML is cleaned up and saved in Grafana's database. An attacker needs to     have the Editor role in order to change a Text panel to include JavaScript. Another user needs to edit the     same Text panel, and click on Markdown or HTML for the code to be executed. This means that vertical     privilege escalation is possible, where a user with Editor role can change to a known password for a user     having Admin role if the user with Admin role executes malicious JavaScript viewing a dashboard. This     issue has been patched in versions 9.2.10 and 9.3.4. (CVE-2023-22462)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

リモートホストにインストールされている FreeBSD のバージョンは、テスト済みバージョンより前です。したがって、6dccc186-b824-11ed-b695-6c3be5272acdのアドバイザリに記載されている脆弱性の影響を受けます。

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。Grafana の内部監査期間の 2023 年 1 月 1 日に、セキュリティチームのメンバーが、コアプラグイン Text に影響する蓄積型 XSS の脆弱性を発見しました。蓄積型 XSS の脆弱性を完全に悪用するにはいくつかのユーザー操作が必要です。
    この脆弱性は、サニタイズされていない HTML コードを通過するが、次のサイクルで HTML がクリーンアップされ、Grfana のデータベースに保存される React のレンダリングサイクルにより発生する可能性がありました。攻撃者が Text テキストパネルを変更して JavaScript を含めるためには編集者ロールを持っている必要があります。別のユーザーが同じ Text パネルを編集し、コードを実行するための Markdown または HTML をクリックする必要があります。これは、垂直権限昇格が可能であることを意味します。ここで、管理者ロールを持つユーザーが、ダッシュボードを表示する悪意のある JavaScript を実行すると、編集者ロールを持つユーザーが既知のパスワードに変更される可能性があります。この問題には、バージョン 9.2.10 および 9.3.4でパッチが適用されています。(CVE-2023-22462)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Grafana は、監視および可観測性のためのオープンソースプラットフォームです。Grafana の内部監査期間の 2023 年 1 月 1 日に、セキュリティチームのメンバーが、コアプラグイン Text に影響する蓄積型 XSS の脆弱性を発見しました。蓄積型 XSS の脆弱性を完全に悪用するにはいくつかのユーザー操作が必要です。
    この脆弱性は、サニタイズされていない HTML コードを通過するが、次のサイクルで HTML がクリーンアップされ、Grfana のデータベースに保存される React のレンダリングサイクルにより発生する可能性がありました。攻撃者が Text テキストパネルを変更して JavaScript を含めるためには編集者ロールを持っている必要があります。別のユーザーが同じ Text パネルを編集し、コードを実行するための Markdown または HTML をクリックする必要があります。これは、垂直権限昇格が可能であることを意味します。ここで、管理者ロールを持つユーザーが、ダッシュボードを表示する悪意のある JavaScript を実行すると、編集者ロールを持つユーザーが既知のパスワードに変更される可能性があります。この問題には、バージョン 9.2.10および 9.3.4でパッチが適用されています。(CVE-2023-22462)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Grafana 是用于监控和观察的开源平台。2023 年 1 月 1 日，在对 Grafana 进行内部审计时，安全团队成员发现一个影响核心插件 Text 的存储 XSS 漏洞。需要多次用户交互才能充分利用存储的 XSS 漏洞。
    由于React 的渲染周期将通过未经清除的 HTML 代码可能导致出现此漏洞但在下一周期HTML 将被清除并保存在 Grafana 的数据库中。攻击者需具有编辑器角色才能更改文本面板以包括 JavaScript。另一用户需要编辑同一个“文本”面板，然后单击要执行的代码的 Markdown 或 HTML。这意味着可能出现垂直权限升级，如果具有管理员角色的用户执行查看仪表板的恶意 JavaScript，则具有编辑器角色的用户可更改具有管理员角色的用户的已知密码。已在版本 9.2.10 和 9.3.4 中修补此问题。(CVE-2023-22462)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - Grafana is an open-source platform for monitoring and observability. On 2023-01-01 during an internal     audit of Grafana, a member of the security team found a stored XSS vulnerability affecting the core plugin     Text. The stored XSS vulnerability requires several user interactions in order to be fully exploited.
    The vulnerability was possible due to React's render cycle that will pass though the unsanitized HTML     code, but in the next cycle the HTML is cleaned up and saved in Grafana's database. An attacker needs to     have the Editor role in order to change a Text panel to include JavaScript. Another user needs to edit the     same Text panel, and click on Markdown or HTML for the code to be executed. This means that vertical     privilege escalation is possible, where a user with Editor role can change to a known password for a user     having Admin role if the user with Admin role executes malicious JavaScript viewing a dashboard. This     issue has been patched in versions 9.2.10 and 9.3.4. (CVE-2023-22462)

Note that Nessus relies on the presence of the package as reported by the vendor.

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - Grafana 是一個用於監控和觀察的開放原始碼平台。在 2023 年 1 月 1 日對 Grafana 進行內部稽核期間，安全性團隊的一名成員發現一個影響核心外掛程式 Text 的已儲存 XSS 弱點。此已儲存 XSS 弱點需要數個使用者互動才會遭到惡意利用。
    此弱點可能是因為 React 的轉譯週期會通過未清理的 HTML 程式碼但在下一個週期中 HTML 會被清除並儲存在 Grafana 的資料庫中。攻擊者必須具備「編輯者」角色才能變更「文字」面板以包含 JavaScript。其他使用者必須編輯相同的文字面板並按一下 Markdown 或 HTML才能執行要執行的程式碼。這表示可能發生垂直特權提升情形，如果具有管理員角色的使用者執行可查看儀表板的惡意 JavaScript，則具有編輯者角色的使用者可更改具有管理員角色之使用者的已知密碼。此問題已在 9.2.10、9.3.4 和 CVE-2023-22462 版本中修正。

請注意，Nessus 的判定取決於廠商所報告的套件是否存在。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114864	Grafana < 9.2.10 Cross-site Scripting	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114864	Grafana < 9.2.10 クロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114864	Grafana < 9.2.10 跨站脚本	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114864	Grafana < 9.2.10 跨網站指令碼	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114865	Grafana 9.3.x < 9.3.4 のクロスサイトスクリプティング	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114865	Grafana 9.3.x < 9.3.4 Cross-site Scripting	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114865	Grafana 9.3.x < 9.3.4 跨網站指令碼	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
114865	Grafana 9.3.x < 9.3.4 跨站脚本	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	medium
172084	FreeBSD : Grafana -- Stored XSS in text panel plugin (6dccc186-b824-11ed-b695-6c3be5272acd)	Nessus	FreeBSD Local Security Checks	2023/3/3	2023/3/16	medium
172084	FreeBSD: Grafana - Text パネルプラグインの蓄積型 XSS (6dccc186-b824-11ed-b695-6c3be5272acd)	Nessus	FreeBSD Local Security Checks	2023/3/3	2023/3/16	medium
225999	Linux Distros のパッチ未適用の脆弱性: CVE-2023-22462	Nessus	Misc.	2025/3/5	2025/9/3	medium
225999	Linux Distros 未修补的漏洞：CVE-2023-22462	Nessus	Misc.	2025/3/5	2025/9/3	medium
225999	Linux Distros Unpatched Vulnerability : CVE-2023-22462	Nessus	Misc.	2025/3/5	2025/9/3	medium
225999	Linux Distros 未修補的弱點：CVE-2023-22462	Nessus	Misc.	2025/3/5	2025/9/3	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium