Grafana
Уязвимости
102
Эксплуатируемые
2
Макс. CVSS
9.8
Макс. EPSS
0.99951
Распределение по критичности
Критический
5
Высокий
30
Средний
62
Низкий
5
Также сопоставлено как (исходные строки): grafana
Топ уязвимостей
CVE-2023-3128Grafana проверяет учетные записи Azure AD на основе электронных писем.
В Azure AD поле электронной почты профиля не уникально и может быть легко изменено.
Это приводит к захвату учетной записи и обходу аутентификации, когда Azure AD OAuth настроен с многоарендным приложением.
CVE-2022-26148Проблема обнаружена в Grafana до версии 7.3.4 при интеграции с Zabbix. Пароль Zabbix можно найти в исходном коде HTML api_jsonrpc.php. Когда пользователь входит в систему и разрешает пользователю зарегистрироваться, можно щелкнуть правой кнопкой мыши, чтобы просмотреть исходный код, и использовать Ctrl-F для поиска пароля в api_jsonrpc.php, чтобы узнать пароль учетной записи Zabbix и адрес URL.
CVE-2024-9264Экспериментальная функция SQL Expressions Grafana позволяет оценивать запросы `duckdb`, содержащие пользовательский ввод. Эти запросы недостаточно очищены перед передачей в `duckdb`, что приводит к внедрению команд и уязвимости локального включения файлов. Любой пользователь с разрешением VIEWER или выше может выполнить эту атаку. Двоичный файл `duckdb` должен присутствовать в $PATH Grafana для работы этой атаки; по умолчанию этот двоичный файл не установлен в дистрибутивах Grafana.
CVE-2026-27876Цепная атака через SQL Expressions и плагин Grafana Enterprise может привести к удаленному удару произвольного исполнения кода (RCE). Это обеспечивается функцией в Grafana (OSS), поэтому всем пользователям всегда рекомендуется обновлять, чтобы избежать будущих векторов атаки, идущего по этому пути.
Только случаи с включенным переключением функции sqlExpressions уязвимы.
Затрагиваются только случаи в следующих диапазонах версий:
- 11.6.0 (включительно) до 11.6.14 (исключительно): 11.6.14 имеет фикс. 11.5 и ниже не затрагиваются.
- 12.0.0 (включительно) до 12.1.10 (исключительно): 12.1.10 имеет фикс. 12.0 не получил обновления, так как это конец жизни.
- 12.2.0 (включительно) до 12.2.8 (исключительно): 12.2.8 имеет исправление.
- 12.3.0 (включительно) до 12.3.6 (исключительно): 12.3.6 имеет фикс.
- 12.4.0 (включительно) до 12.4.2 (исключительно): 12.4.2 имеет фикс. 13.0.0 и выше также имеют исправление: высвобождение v13 не затрагивается.
CVE-2021-41244Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдаемости. В затронутых версиях, когда включена бета-функция детального контроля доступа и в экземпляре Grafana имеется более одной организации, администраторы могут получать доступ к пользователям из других организаций. Grafana 8.0 представила механизм, который позволял пользователям с ролью администратора организации перечислять, добавлять, удалять и обновлять роли пользователей в других организациях, в которых они не являются администраторами. С включенным детальным контролем доступа администраторы организаций могут перечислять, добавлять, удалять и обновлять роли пользователей в другой организации, где у них нет роли администратора организации. Все установки между v8.0 и v8.2.3, на которых включена бета-версия детального контроля доступа и имеется более одной организации, должны быть обновлены как можно скорее. Если вы не можете выполнить обновление, вам следует отключить детальный контроль доступа с помощью флага функции.
CVE-2022-23498Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдаемости. Когда включено кэширование запросов источника данных, Grafana кэширует все заголовки, включая `grafana_session`. В результате любой пользователь, запрашивающий источник данных, для которого включено кэширование, может получить сеанс другого пользователя. Чтобы снизить уязвимость, можно отключить кэширование запросов источника данных для всех источников данных. Эта проблема была исправлена в версиях 9.2.10 и 9.3.4.
CVE-2022-29170Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдения. В Grafana Enterprise функция безопасности запросов позволяет настроить Grafana таким образом, чтобы экземпляр не вызывал или вызывал только определенные хосты. Уязвимость, присутствующая начиная с версии 7.4.0-beta1 и до версий 7.5.16 и 8.5.3, позволяет кому-то обойти эти конфигурации безопасности, если вредоносный источник данных (работающий на разрешенном хосте) возвращает HTTP-перенаправление на запрещенный хост. Уязвимость затрагивает только Grafana Enterprise, когда используется список разрешений безопасности запросов и есть возможность добавить пользовательский источник данных в Grafana, который возвращает HTTP-перенаправления. В этом сценарии Grafana будет слепо следовать перенаправлениям и потенциально предоставлять защищенную информацию клиентам. Grafana Cloud не подвержена этой уязвимости. Версии 7.5.16 и 8.5.3 содержат исправление для этой проблемы. В настоящее время обходные пути отсутствуют.
CVE-2025-3260Уязвимость в безопасности конечных точек /apis/dashboard.grafana.app/* позволяет аутентифицированным пользователям обойти разрешения на доступ к панелям мониторинга и папкам. Уязвимость затрагивает все версии API (v0alpha1, v1alpha1, v2alpha1).
Влияние:
- Пользователи с ролью Viewer могут просматривать все панели мониторинга и папки, независимо от разрешений
- Пользователи с ролью Editor могут просматривать, редактировать и удалять все панели мониторинга и папки, независимо от разрешений
- Пользователи с ролью Editor могут создавать панели мониторинга в любой папке, независимо от разрешений
- Анонимные пользователи с ролями Viewer или Editor также подвержены влиянию этой уязвимости
Границы изоляции организации остаются нетронутыми. Уязвимость затрагивает только доступ к панелям мониторинга и не предоставляет доступ к источникам данных [1].
Источники:
- [1] https://grafana.com/security/security-advisories/CVE-2025-3260/
CVE-2020-13379Функция аватара в Grafana 3.0.1–7.0.1 имеет проблему с неправильным контролем доступа SSRF. Эта уязвимость позволяет любому не прошедшему проверку подлинности пользователю/клиенту заставлять Grafana отправлять HTTP-запросы по любому URL-адресу и возвращать результат пользователю/клиенту. Это можно использовать для получения информации о сети, в которой работает Grafana. Кроме того, передача недействительных объектов URL может использоваться для DOS'ing Grafana через SegFault.
CVE-2026-33381Когда доступ пользователя к токенам монетного двора для учетной записи службы отменяется, иногда все еще можно сделать это в течение нескольких секунд после события. Пользователь в конечном итоге потеряет доступ к этому.
CVE-2026-21721API разрешений на панели не проверяет область применения целевой панели и проверяет только действие dashboards.permissions:*. В результате пользователь, у которого есть права управления разрешениями на одной панели управления, может читать и изменять разрешения на других приборных платах. Это эскалация внутриорганизационной привилегий.
CVE-2022-39328Grafana - это платформа с открытым исходным кодом для мониторинга и наблюдаемости. Версии, начиная с 9.2.0 и заканчивая 9.2.4, содержат состояние гонки в логике промежуточного программного обеспечения аутентификации, которое может позволить неаутентифицированному пользователю запрашивать конечную точку администрирования при высокой нагрузке. Эта проблема исправлена в версии 9.2.4. Обходных путей решения проблемы не существует.
CVE-2022-39306Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдаемости. Версии до 9.2.4 или 8.5.15 в ветке 8.X подвержены неправильной проверке ввода. Администраторы Grafana могут приглашать других членов в организацию, администраторами которой они являются. Когда администраторы добавляют членов в организацию, несуществующие пользователи получают приглашение по электронной почте, существующие члены добавляются непосредственно в организацию. Когда отправляется ссылка-приглашение, она позволяет пользователям регистрироваться с любым именем пользователя/адресом электронной почты, которые выберет пользователь, и становиться членом организации. Это создает уязвимость, которая может быть использована со злым умыслом. Эта проблема исправлена в версии 9.2.4 и перенесена в версию 8.5.15. Известных обходных путей нет.
CVE-2022-24812Grafana - это платформа с открытым исходным кодом для мониторинга и наблюдаемости. Когда включен точный контроль доступа и клиент использует ключ API Grafana для отправки запросов, разрешения для этого ключа API кэшируются в течение 30 секунд для данной организации. Из-за того, как построен идентификатор кэша, последующие запросы с любым ключом API оцениваются с теми же разрешениями, что и предыдущие запросы. Это может привести к повышению привилегий, когда, например, первый запрос отправляется с разрешениями администратора, а второй запрос с другим ключом API отправляется с разрешениями Viewer, второй запрос получит кэшированные разрешения от предыдущего администратора, по сути, получив доступ к более высоким привилегиям, чем должен. Уязвимость затрагивает только Grafana Enterprise, когда включена бета-функция точного контроля доступа и в одной организации имеется более одного ключа API с разными назначенными ролями. Все установки после Grafana Enterprise v8.1.0-beta1 следует обновить как можно скорее. В качестве альтернативы отключение точного контроля доступа позволит снизить уязвимость.
CVE-2025-6023В Grafana OSS обнаружена уязвимость открытого перенаправления, которая может быть использована для проведения атак XSS. Уязвимость была внесена в Grafana v11.5.0 [1]. Открытое перенаправление может быть объединено с уязвимостями обхода пути для достижения XSS [1]. Исправлено в версиях 12.0.2+security-01, 11.6.3+security-01, 11.5.6+security-01, 11.4.6+security-01 и 11.3.8+security-01. Источники: - [1] https://grafana.com/security/security-advisories/cve-2025-6023/ - [2] https://grafana.com/blog/2025/07/17/grafana-security-release-medium-and-high-severity-fixes-for-cve-2025-6197-and-cve-2025-6023/
Источники:
- [1] https://grafana.com/security/security-advisories/cve-2025-6023/
- [2] https://grafana.com/blog/2025/07/17/grafana-security-release-medium-and-high-severity-fixes-for-cve-2025-6197-and-cve-2025-6023/
CVE-2026-27880Функция оценки OpenFeature считывала необоснованные значения в память, что может привести к сбоям вне памяти.
CVE-2026-27877При использовании публичных панно и прямых источников данных все пароли прямых источников данных раскрываются, несмотря на то, что они не используются в панлотах.
Никакие пароли прокси-источников данных не раскрываются. Мы рекомендуем, чтобы все прямые ресурсы данных были преобразованы в проставленные ресурсы данных, насколько это возможно, чтобы улучшить безопасность ваших развертываний.
CVE-2026-21720Каждая некешаная /avatar/:hash-запрос порождает горутин, который освежает изображение Граватара. Если обновление сидит в очереди на 10-слоты рабочего более трех секунд, обработчик умножает и перестает слушать результат, так что грузины навсегда пытаются отправить по небуферному каналу. Устойчивый трафик со случайными хэшами продолжает спотыкаться в этот тайм-аут, поэтому количество горотин растет линейно, в конечном итоге исчерпав память и вызывая у Grafana столкновение с некоторыми системами.
CVE-2023-2801Grafana – это платформа с открытым исходным кодом для мониторинга и наблюдения.
Используя публичные панели управления, пользователи могут запрашивать несколько разных источников данных с помощью смешанных запросов. Однако такой запрос может привести к сбою экземпляра Grafana.
Единственная функциональность, которая в данный момент использует смешанные запросы, – это публичные панели управления, но также можно вызвать это, обратившись непосредственно к API запросов.
Это может позволить злоумышленникам ухудшить работу экземпляров Grafana через эту конечную точку.
Пользователи могут обновиться до версии 9.4.12 и 9.5.3, чтобы получить исправление.
CVE-2023-1387Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдения.
Начиная с ветки 9.1, Grafana внедрила возможность искать JWT в параметре URL-форма auth_token и использовать его в качестве токена аутентификации.
Включив опцию конфигурации "url_login" (по умолчанию она отключена), JWT может быть отправлен источникам данных. Если злоумышленник имеет доступ к источнику данных, скомпрометированный токен может быть использован для аутентификации в Grafana.
CVE-2022-32276Grafana 8.4.3 разрешает не прошедший проверку подлинности доступ через (например) /dashboard/snapshot/*?orgId=0 URI. ПРИМЕЧАНИЕ: поставщик считает это ошибкой пользовательского интерфейса, а не уязвимостью.
CVE-2022-32275Grafana 8.4.3 позволяет читать файлы через (например) /dashboard/snapshot/%7B%7Bconstructor.constructor'/.. /.. /.. /.. /.. /.. /.. /.. /etc/passwd URI. ПРИМЕЧАНИЕ: позиция поставщика заключается в том, что уязвимости нет; этот запрос выдает безобидную страницу ошибки, а не содержимое /etc/passwd.
CVE-2022-31130Grafana — это платформа с открытым исходным кодом для обеспечения наблюдаемости и визуализации данных. Версии Grafana для конечных точек до 9.1.8 и 8.5.14 могут привести к утечке токенов аутентификации в некоторые целевые плагины при определенных условиях. Уязвимость влияет на источник данных и конечные точки прокси-сервера плагина с токенами аутентификации. Целевой плагин может получить токен аутентификации Grafana пользователя. Версии 9.1.8 и 8.5.14 содержат исправление для этой проблемы. В качестве обходного решения не используйте ключи API, аутентификацию JWT или любую аутентификацию на основе заголовков HTTP.
CVE-2022-23552Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдения. Начиная с ветки 8.1 и до версий 8.5.16, 9.2.10 и 9.3.4, в Grafana была уязвимость сохраненного XSS, влияющая на основной плагин GeoMap. Уязвимость сохраненного XSS была возможна, поскольку SVG-файлы не были должным образом очищены и позволяли выполнять произвольный JavaScript в контексте текущего авторизованного пользователя экземпляра Grafana.
Злоумышленнику необходимо иметь роль редактора, чтобы изменить панель, чтобы включить либо внешний URL-адрес SVG-файла, содержащего JavaScript, либо использовать схему `data:`, чтобы загрузить встроенный SVG-файл, содержащий JavaScript. Это означает, что возможна вертикальная эскалация привилегий, когда пользователь с ролью редактора может изменить пароль пользователя с ролью администратора на известный, если пользователь с ролью администратора выполняет вредоносный JavaScript, просматривая панель мониторинга.
Пользователи могут выполнить обновление до версии 8.5.16, 9.2.10 или 9.3.4, чтобы получить исправление.
CVE-2021-43798Grafana — это платформа с открытым исходным кодом для мониторинга и наблюдения. Версии Grafana 8.0.0-beta1–8.3.0 (за исключением исправленных версий) уязвимы для обхода каталогов, что позволяет получить доступ к локальным файлам. Уязвимый путь URL: `<grafana_host_url>/public/plugins//`, где — это идентификатор плагина для любого установленного плагина. Grafana Cloud никогда не была уязвима. Пользователям рекомендуется обновиться до исправленных версий 8.0.7, 8.1.8, 8.2.7 или 8.3.1. Рекомендация по безопасности GitHub содержит больше информации об уязвимых путях URL, мерах по снижению риска и сроках раскрытия информации.