根据其自我报告的版本远程主机上托管的 Grafana 安装版本为低于 9.5.x 的 9.5.18、或低于 10.0.x ] 的 10.0.13、或低于 10.1.x 的 10.1.9、或低于 10.2.x ] 的 10.2.6、或 10.3.x 早于 10.3.5。因此受到通过用户控制的密钥绕过授权漏洞的影响。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Grafana Labs 版本低于 9.5.18、10.0.13、10.1.9、10.2.6 或 10.3.5。因此，该应用程序受到 CVE-2024-1313 公告中提及的漏洞的影响。

  - 如果与快照所有者处于不同的组织，用户可以使用其视图密钥向 /api/snapshots/<key> 发出 DELETE 请求绕过授权并删除快照。此功能仅适用于有权对相关快照执行写入/编辑操作的个人使用，但由于授权逻辑存在缺陷，与快照所有者不属于同一组织的非特权用户发出的删除请求将被视为已获授权。 

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2024:2568 公告中提及的多个漏洞影响。

  - grafana：容易受到授权绕过攻击 (CVE-2024-1313)

  - golang-fips/openssl：用于加密和解密 RSA 负载的代码中存在内存泄漏 (CVE-2024-1394)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Oracle Linux 8 主机上安装的程序包受到 ELSA-2024-3265 公告中提及的多个漏洞的影响。

    [9.2.10-16]
    - 删除快照前检查 OrdID 是否正确
    - 修复 CVE-2024-1313
    - 修复 CVE-2024-1394

Tenable 已直接从 Oracle Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Rocky Linux 8 主机上存在安装的程序包该程序包受到公告 RLSA-2024:3265 中提及的多个漏洞的影响。

    * golang-fips/openssl：用于加密和解密 RSA 负载的代码中存在内存泄漏 (CVE-2024-1394)

    * grafana容易遭受授权绕过 (CVE-2024-1313)

Tenable 已直接从 Rocky Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Oracle Linux 9 主机上安装的程序包受到 ELSA-2024-2568 公告中提及的多个漏洞的影响。

  - 在 RSA 加密/解密代码的 Golang 中发现内存泄露缺陷，使用攻击者控制的输入时，可导致资源耗尽漏洞。在 github.com/golang-fips/openssl/openssl/rsa.go#L113 中发生内存泄漏。对象泄漏为 pkey 和 ctx。如果初始化上下文或设置不同属性时出错，该函数会使用 named 返回参数来释放 pkey 和 ctx。所有与错误情况相关的返回语句均遵循返回 nil、nil、fail(...) 模式，这意味着 pkey 和 ctx 在应释放它们的延迟函数内将为 nil。(CVE-2024-1394)

  - 如果与快照所有者处于不同的组织，用户可以使用其视图密钥向 /api/snapshots/<key> 发出 DELETE 请求绕过授权并删除快照。此功能仅适用于有权对相关快照执行写入/编辑操作的个人使用，但由于授权逻辑存在缺陷，与快照所有者不属于同一组织的非特权用户发出的删除请求将被视为已获授权。Grafana Labs 在此感谢 Palo Alto Research 的 Ravid Mazon 和 Jay Chen 发现并披露此漏洞。此问题影响以下版本的 Grafana：9.5.0 至 9.5.18、10.0.0 至 10.0.13、10.1.0 至 10.1.9、10.2.0 至 10.2.6、10.3.0 至 10.3.5。(CVE-2024-1313)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 8 主机上安装的多个程序包受到 RHSA-2024:3265 公告中提及的多个漏洞影响。

    grafana 更新现可用于 Red Hat Enterprise Linux 8。

    Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 CentOS Linux 8 主机上安装的多个程序包受到 CESA-2024:3265 公告中提及的多个漏洞影响。

  - 如果与快照所有者处于不同的组织，用户可以使用其视图密钥向 /api/snapshots/<key> 发出 DELETE 请求绕过授权并删除快照。此功能仅适用于有权对相关快照执行写入/编辑操作的个人使用，但由于授权逻辑存在缺陷，与快照所有者不属于同一组织的非特权用户发出的删除请求将被视为已获授权。Grafana Labs 在此感谢 Palo Alto Research 的 Ravid Mazon 和 Jay Chen 发现并披露此漏洞。此问题影响以下版本的 Grafana：9.5.0 至 9.5.18、10.0.0 至 10.0.13、10.1.0 至 10.1.9、10.2.0 至 10.2.6、10.3.0 至 10.3.5。(CVE-2024-1313)

  - 在 RSA 加密/解密代码的 Golang 中发现内存泄露缺陷，使用攻击者控制的输入时，可导致资源耗尽漏洞。在 github.com/golang-fips/openssl/openssl/rsa.go#L113 中发生内存泄漏。对象泄漏为 pkey 和 ctx。如果初始化上下文或设置不同属性时出错，该函数会使用 named 返回参数来释放 pkey 和 ctx。所有与错误情况相关的返回语句均遵循返回 nil、nil、fail(...) 模式，这意味着 pkey 和 ctx 在应释放它们的延迟函数内将为 nil。(CVE-2024-1394)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Rocky Linux 9 主机上存在安装的程序包该程序包受到公告 RLSA-2024:2568 中提及的多个漏洞的影响。

  - 如果与快照所有者处于不同的组织，用户可以使用其视图密钥向 /api/snapshots/<key> 发出 DELETE 请求绕过授权并删除快照。此功能仅适用于有权对相关快照执行写入/编辑操作的个人使用，但由于授权逻辑存在缺陷，与快照所有者不属于同一组织的非特权用户发出的删除请求将被视为已获授权。Grafana Labs 在此感谢 Palo Alto Research 的 Ravid Mazon 和 Jay Chen 发现并披露此漏洞。此问题影响以下版本的 Grafana：9.5.0 至 9.5.18、10.0.0 至 10.0.13、10.1.0 至 10.1.9、10.2.0 至 10.2.6、10.3.0 至 10.3.5。(CVE-2024-1313)

  - 在 RSA 加密/解密代码的 Golang 中发现内存泄露缺陷，使用攻击者控制的输入时，可导致资源耗尽漏洞。在 github.com/golang-fips/openssl/openssl/rsa.go#L113 中发生内存泄漏。对象泄漏为 pkey 和 ctx。如果初始化上下文或设置不同属性时出错，该函数会使用 named 返回参数来释放 pkey 和 ctx。所有与错误情况相关的返回语句均遵循返回 nil、nil、fail(...) 模式，这意味着 pkey 和 ctx 在应释放它们的延迟函数内将为 nil。(CVE-2024-1394)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114836	Grafana 10.0.x < 10.0.13 通过用户控制的密钥绕过授权	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	high
114839	Grafana 10.3.x < 10.3.5 通过用户控制的密钥绕过授权	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	high
114838	Grafana 10.2.x < 10.2.6 通过用户控制的密钥绕过授权	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	high
114835	Grafana 9.5.x < 9.5.18 通过用户控制的密钥绕过授权	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	high
114837	Grafana 10.1.x < 10.1.9 通过用户控制的密钥绕过授权	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	high
193176	Grafana Labs 9.5 < 9.5.18、10.0 < 10.0.13、10.1 < 10.1.9、10.2 < 10.2.6、10.3 < 10.3.5 (CVE-2024-1313)	Nessus	Web Servers	2024/4/11	2024/10/4	medium
194832	RHEL 9：grafana (RHSA-2024:2568)	Nessus	Red Hat Local Security Checks	2024/4/30	2025/3/6	medium
198149	Oracle Linux 8：grafana (ELSA-2024-3265)	Nessus	Oracle Linux Local Security Checks	2024/5/30	2024/10/4	medium
200565	Rocky Linux 8grafana (RLSA-2024:3265)	Nessus	Rocky Linux Local Security Checks	2024/6/14	2024/10/4	medium
195130	Oracle Linux 9：grafana (ELSA-2024-2568)	Nessus	Oracle Linux Local Security Checks	2024/5/7	2024/10/4	medium
197809	RHEL 8：grafana (RHSA-2024:3265)	Nessus	Red Hat Local Security Checks	2024/5/23	2025/3/6	medium
197692	CentOS 8：grafana (CESA-2024:3265)	Nessus	CentOS Local Security Checks	2024/5/22	2024/10/4	medium
196966	Rocky Linux 9grafana (RLSA-2024:2568)	Nessus	Rocky Linux Local Security Checks	2024/5/14	2024/10/4	medium

检测

插件搜索

high

high

high

high

high

medium

medium

medium

medium

medium

medium

medium

medium