根据其自报告版本，Grafana安装在远程主机上，位于11.6.9之前，或12.0.x之前12.0.8，或12.2.312.3.112.1.x12.1.512.2.x12.3.x之前。因此，该软件受到多个漏洞的影响。

- 平台支持用户拥有自己的头像，这些头像可从 Gravatar 服务 API 中获取。这会使用缓存，以确保服务不会过载。如果这些请求在3秒后超时，Goroutine就会被永久运行。如果攻击者重复这些请求，可能会导致拒绝服务（DoS）。

- 如果用户在一个仪表盘拥有权限管理权限，他们可以编辑任何其他仪表盘的权限。

请注意，扫描程序并未测试这些问题，而是仅依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 每个未缓存的 /avatar/:hash 请求都会生成一个刷新 Gravatar 图像的 goroutine。如果刷新在 10 槽工作队列中的等待时间超过三秒处理程序会超时并停止监听结果因此 goroutine 会在尝试在无缓冲的通道上发送时永久阻断。具有随机哈希的持续流量不断触发此超时因此 goroutine 计数线性增长最终耗尽内存并导致 Grafana 在某些系统上崩溃。 (CVE-2026-21720)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

远程主机上安装的 Grafana Labs 版本受到 CVE-2026-21720 公告中提及的一个拒绝服务漏洞的影响。 

  - 每个未缓存的 /avatar/:hash 请求都会生成一个用于刷新 Gravatar 图像的 goroutine。如果刷新在 10 插槽的工作线程队列中驻留的时间超过三秒，处理程序会超时并停止监听结果，因此 goroutine 会因试图在无缓冲的通道发送数据而永久阻塞。具有随机哈希的持续流量不断触发此超时问题，因此 goroutine 计数会线性增长，最终耗尽内存并导致 Grafana 在某些系统上崩溃。(CVE-2026-21720)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
115196	Grafana <12.3.x12.3.1多重漏洞	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	high
115194	Grafana <12.1.x12.1.5多重漏洞	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	high
115195	Grafana <12.2.x12.2.3多重漏洞	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	high
115192	Grafana < 11.6.9 多重漏洞	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	high
115193	Grafana <12.0.x12.0.8多重漏洞	Web App Scanning	Component Vulnerability	2026/4/2	2026/4/2	high
297404	Linux Distros 未修补的漏洞：CVE-2026-21720	Nessus	Misc.	2026/1/31	2026/1/31	high
297198	Grafana Labs 3.0.0 < 11.6.9+security-01 / 12.0.0 < 12.0.8+security-01 / 12.1.0 < 12.1.5+security-01 / 12.2.0 < 12.2.3+security-01 / 12.3.0 < 12.3.1+security-01 DoS (CVE-2026-21720)	Nessus	Web Servers	2026/1/30	2026/4/30	high

检测

插件搜索

high

high

high

high

high

high

high