根据其自我报告的版本远程主机上托管的 Grafana 安装版本为低于 10.3.x 的 10.3.10、或低于 10.4.x ] 的 10.4.9、或低于 11.0.x 的 11.0.5、或低于 11.1.x ] 的 11.1.6、或 11.2.x 早于 11.2.1。因此，该应用程序受到多个漏洞的影响：

- 一个代码注入漏洞。

- 不正确的隔离或隔离措施漏洞。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Grafana Labs 版本受到 CVE-2024-9264 公告中提及的一个漏洞的影响。

  - Grafana 的 SQL 表达式实验性功能可评估包含用户输入的“duckdb”的查询。这些查询在被传递到“duckdb”之前未得到充分审查，从而导致命令注入和本地文件包含漏洞。任何拥有 VIEWER 或更高权限的用户都可以执行此攻击。Grafana 的 $PATH 中必须存在“duckdb”二进制文件，此攻击才能生效；默认情况下，Grafana 发行版本中未安装此二进制文件。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Grafana 的 SQL 表达式实验功能允许评估包含用户输入的“duckdb”查询。这些查询在传递到“duckdb”之前未得到充分审查从而导致命令注入和本地文件包含漏洞。任何具有 VIEWER 或更高权限的用户都有可能执行此攻击。Grafana 的 $PATH 中必须存在“duckdb”二进制文件此攻击才能起作用默认情况下Grafana 发行版本中不安装此二进制文件。
    (CVE-2024-9264)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
114830	Grafana 10.3.x < 10.3.10 多种漏洞	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	critical
114833	Grafana 11.1.x < 11.1.6 多种漏洞	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	critical
114834	Grafana 11.2.x < 11.2.1 多种漏洞	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	critical
114831	Grafana 10.4.x < 10.4.9 多种漏洞	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	critical
114832	Grafana 11.0.x < 11.0.5 多种漏洞	Web App Scanning	Component Vulnerability	2025/6/4	2025/6/4	critical
211576	Grafana Labs SQL 表达式允许 RCE (CVE-2024-9264)	Nessus	Web Servers	2024/11/19	2024/11/20	high
262080	Linux Distros 未修补的漏洞：CVE-2024-9264	Nessus	Misc.	2025/9/10	2025/9/10	high

检测

插件搜索

critical

critical

critical

critical

critical

high

high