根据应用程序自我报告的版本号，远程主机上安装的 Grafana 为低于 12.0.6 的版本、或为低于 12.1.3 的 12.1.x 版、低于 12.2.1 的 12.2.x 版或低于12.3.0 的 12.3.x 版。因此，受到错误权限分配漏洞的影响。

- 在启用并配置 SCIM 配置的 Grafana 版本 12.x 中，用户身份处理漏洞允许恶意或遭破坏的 SCIM 客户端为用户配置数字 externalId，进而允许覆盖内部用户 ID 并导致冒充或权限升级。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

SCIM 配置已于 4 月引入 Grafana Enterprise 和 Grafana Cloud 中，通过引入自动化用户生命周期管理，改进组织在 Grafana 中管理用户和团队的方式。在启用并配置 SCIM 配置的 Grafana 版本 12.x 中，用户身份处理漏洞允许恶意或遭破坏的 SCIM 客户端为用户配置数字 externalId，进而允许覆盖内部用户 ID 并导致冒充或权限升级。此漏洞仅在同时满足以下所有配置条件时存在： —“enableSCIM”功能标志设置为 true， — “[auth.scim]”块中的“user_sync_enabled”配置选项设置为 true。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
115199	Grafana 12.2.x < 12.2.1 权限分配不正确	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	critical
115198	Grafana 12.1.x < 12.1.3 权限分配不正确	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	critical
115200	Grafana 12.3.x < 12.3.0 权限分配不正确	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	critical
115197	Grafana < 12.0.6 权限分配不正确	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	critical
276746	Grafana Enterprise SCIM 配置权限提升（CVE-2025-41115）	Nessus	Web Servers	2025/11/25	2026/3/3	critical

检测

插件搜索

critical

critical

critical

critical

critical