Grafana

Eine Schwachstelle in Grafana ermöglicht es angemeldeten Benutzern, beliebige Dateien vom Server zu lesen, wenn die SQL-Expressions-Funktion aktiviert ist.

Eine Schwachstelle in Grafana ermöglicht es angemeldeten Benutzern, durch spezielle Anfragen an Plugin-Endpunkte unbegrenzt Speicher zu verbrauchen und dadurch den Server zum Absturz zu bringen.

betrifft: ≥8.5.0 <11.6.14; ≥12.2.0 <12.2.8; ≥12.3.0 <12.3.6; ≥12.4.0 <12.4.3; =11.6.14; =12.2.8; =12.3.6; =12.4.3 · v11.6.14+security-04 nicht betroffen

Eine Schwachstelle in Grafana Live ermöglicht es angemeldeten Benutzern mit Viewer-Berechtigung, den Server durch gleichzeitige Anfragen zum Absturz zu bringen, wodurch der gesamte Dienst ausfällt.

betrifft: ≥8.5.0 <11.6.14; ≥12.2.0 <12.2.8; ≥12.3.0 <12.3.6; ≥12.4.0 <12.4.3; =11.6.14; =12.2.8; =12.3.6; =12.4.3 · v11.6.14+security-04 nicht betroffen

Eine Schwachstelle in Grafanas Live-Push-Funktion ermöglicht es angemeldeten Benutzern, durch das Senden großer Datenmengen unbegrenzten Speicherverbrauch zu verursachen, was zu Systemabstürzen führen kann.

betrifft: ≥8.0.0 <11.6.14; ≥12.0.0 <12.2.8; ≥12.3.0 <12.3.6; ≥12.4.0 <12.4.3; =11.6.14; =12.2.8; =12.3.6; =12.4.3 · v11.6.14+security-04 nicht betroffen

Eine Schwachstelle in Grafanas Korrelations-Feature ermöglicht es Benutzern mit Datenquellen-Verwaltungsrechten, veraltete Korrelationsdaten anderer Organisationen einzusehen und dauerhaft zu löschen, wodurch die Mandantentrennung umgangen wird.

betrifft: <11.6.11; ≥12.0.0 <12.0.9; ≥12.1.0 <12.1.6; ≥12.2.0 <12.2.4; ≥12.3.0 <12.3.3 · v11.6.14+security-04 nicht betroffen

In Grafanas Benachrichtigungssystem können Benutzer mit Bearbeitungsrechten die Endpunkt-URLs von Kontaktpunkten anderer Nutzer ändern und über die Test-Funktion vertrauliche Anmeldedaten wie Slack-Token abfangen, was unbefugten Zugriff auf externe Dienste ermöglicht.

betrifft: ≥8.0.0 ≤12.3.0 · deine v11.6.14+security-04 betroffen

Eine Schwachstelle in Grafanas Testdaten-Datenquelle kann dazu missbraucht werden, Speicherprobleme zu verursachen, die zum Absturz der Anwendung führen.

betrifft: <8.1.0; ≥11.6.14 <12.0.0; ≥12.1.10 <12.2.0; ≥12.2.8 <12.3.0; ≥12.3.6 <12.4.0 · deine v11.6.14+security-04 betroffen

Eine Schwachstelle in Grafana ermöglicht es Angreifern, durch spezielle Resample-Abfragen den Arbeitsspeicher zu überlasten und das System zum Absturz zu bringen.

betrifft: <8.0.0; ≥11.6.14 <12.0.0; ≥12.1.10 <12.2.0; ≥12.2.8 <12.3.0; ≥12.3.6 <12.4.0 · deine v11.6.14+security-04 betroffen

Eine Schwachstelle in Grafana ermöglicht Angreifern die Ausführung beliebigen Codes auf dem Server durch eine Kombination aus SQL-Ausdrücken und Enterprise-Plugins. Betroffen sind nur Instanzen mit aktiviertem sqlExpressions-Feature in bestimmten Versionen zwischen 11.6.0 und 12.4.1.

betrifft: <11.6.0; ≥11.6.14 <12.0.0; ≥12.1.10 <12.2.0; ≥12.2.8 <12.3.0; ≥12.3.6 <12.4.0 · deine v11.6.14+security-04 betroffen

Eine Schwachstelle in Grafana Tempo gibt den S3-Verschlüsselungsschlüssel im Klartext über einen Statusendpunkt preis, wodurch unbefugte Personen Zugriff auf den Schlüssel für verschlüsselte Trace-Daten erhalten können.

Eine Schwachstelle in Grafanas MSSQL-Plugin ermöglicht es Benutzern mit geringen Rechten, Sicherheitsbeschränkungen zu umgehen und durch übermäßigen Speicherverbrauch den Server zum Absturz zu bringen.

betrifft: ≥11.6.0 <11.6.14; ≥12.1.0 <12.1.10; ≥12.2.0 <12.2.8; ≥12.3.0 <12.3.6; ≥12.4.0 <12.4.2 · v11.6.14+security-04 nicht betroffen

Eine Schwachstelle in Grafana ermöglicht es Benutzern mit Editor-Rolle, geschützte Webhook-URLs zu ändern, obwohl ihnen die erforderlichen Berechtigungen fehlen.

betrifft: ≥11.6.9 <11.6.14; ≥12.1.5 <12.1.10; ≥12.2.2 <12.2.8; ≥12.3.1 <12.3.6 · v11.6.14+security-04 nicht betroffen

Eine Sicherheitslücke im Grafana Cubism-Panel Plugin ermöglicht es Angreifern mit Editor-Rechten, schädlichen JavaScript-Code einzuschleusen, der ausgeführt wird, wenn andere Nutzer mit dem Panel interagieren.

betrifft: ≤0.1.2 · v11.6.14+security-04 nicht betroffen

Eine Schwachstelle in Grafana ermöglicht es Angreifern, Datenquellen ohne Berechtigung zu löschen, wenn diese zuvor gelöscht und dann neu erstellt wurden. Dies erfordert sehr spezifische Bedingungen und funktioniert nur innerhalb von 30 Sekunden.

betrifft: ≥11.0.0 <12.4.1 · deine v11.6.14+security-04 betroffen

Eine Schwachstelle in Grafanas Explore Traces-Ansicht ermöglicht es Angreifern, schädlichen JavaScript-Code über Stack-Traces einzuschleusen, der dann im Browser ausgeführt wird. Betroffen sind nur Datenquellen mit Jaeger HTTP API.

betrifft: ≥12.2.0 <12.2.4; ≥12.3.0 <12.3.2; =12.2.4; =12.3.2 · v11.6.14+security-04 nicht betroffen

Eine kritische Sicherheitslücke in Grafana ermöglicht es Angreifern, ohne Authentifizierung auf Dashboard-Snapshots zuzugreifen und diese zu löschen, indem sie spezielle URL-Pfade verwenden.

Eine Schwachstelle in Grafana ermöglicht es Angreifern, schädlichen JavaScript-Code über speziell präparierte URLs auszuführen, wenn Nutzer nicht angemeldet sind und bestimmte Seiten besuchen.

Eine Schwachstelle in Grafana ermöglichte es Administratoren einer Organisation, Benutzerrollen in anderen Organisationen zu verwalten, obwohl sie dort keine Berechtigung hatten. Dies betraf nur Installationen mit aktivierter Beta-Funktion für detaillierte Zugriffskontrolle.

Grafana-Versionen 8.0.0-beta1 bis 8.3.0 enthalten eine Pfad-Traversal-Schwachstelle, die es Angreifern ermöglicht, über bestimmte Plugin-URLs auf lokale Dateien des Servers zuzugreifen.

Grafana-Anwendungen zwischen Version 5.0.0 und 8.3.1 enthalten eine Sicherheitslücke, die es angemeldeten Benutzern ermöglicht, bestimmte Markdown-Dateien über Pfad-Traversierung zu lesen.

Grafana enthält eine Sicherheitslücke, die es angemeldeten Benutzern ermöglicht, beliebige CSV-Dateien über Directory Traversal zu lesen, aber nur wenn die TestData DB-Datenquelle aktiviert ist.

Ein Fehler in Grafana ermöglicht es API-Token-Inhabern, auf Daten zuzugreifen, für die sie keine Berechtigung haben sollten, indem die OAuth-Identität des zuletzt angemeldeten Benutzers weitergeleitet wird.

Grafana-Versionen bis 8.3.4 enthalten eine Cross-Site-Scripting-Schwachstelle, bei der Angreifer über kompromittierte Datenquellen oder Plugins schädlichen HTML-Code einschleusen können. Authentifizierte Nutzer könnten durch speziell präparierte Links dazu gebracht werden, bösartigen Code auszuführe

Grafana-Dashboards sind anfällig für Cross-Site Request Forgery-Angriffe, bei denen Angreifer authentifizierte Benutzer dazu bringen können, ihnen hohe Berechtigungen zu gewähren. Alle Versionen ab 3.0-beta1 sind betroffen und ermöglichen Rechteerweiterung durch Täuschung von Administratoren.

Grafana-Versionen ab 5.0.0-beta1 haben eine Schwachstelle in der Teams-API, die es angemeldeten Angreifern ermöglicht, auf Teamdaten zuzugreifen, für die sie keine Berechtigung haben.

Eine Schwachstelle in Grafana Enterprise ermöglicht es Angreifern, höhere Berechtigungen zu erlangen, wenn die Beta-Funktion für feinkörnige Zugriffskontrolle aktiviert ist und mehrere API-Schlüssel mit unterschiedlichen Rollen verwendet werden.

Grafana Enterprise hat eine Schwachstelle, die es Angreifern ermöglicht, Netzwerkbeschränkungen für Datenquellen zu umgehen, indem sie HTTP-Weiterleitungen verwenden, um auf eigentlich gesperrte Server zuzugreifen.

Grafana-Versionen ab 8.0 enthalten eine gespeicherte Cross-Site-Scripting-Schwachstelle in der Unified Alerting-Funktion. Angreifer können damit ihre Berechtigungen von Editor auf Admin erweitern, indem sie authentifizierte Administratoren dazu bringen, auf einen präparierten Link zu klicken.

Eine Schwachstelle in Grafanas OAuth-Authentifizierung ermöglicht es böswilligen Benutzern, bestehende Benutzerkonten zu übernehmen. Alle Grafana-Versionen ab 5.3 sind betroffen und sollten sofort aktualisiert werden.

Eine Schwachstelle in Grafana ermöglicht es Angreifern, die Signaturprüfung von Plugins zu umgehen und schädliche Plugins zu installieren, obwohl unsignierte Plugins eigentlich blockiert werden sollten.

Eine Schwachstelle in Grafana ermöglicht es bestimmten Plugins, Authentifizierungstoken von Benutzern abzufangen, wodurch sensible Anmeldedaten preisgegeben werden können.

Eine Schwachstelle in Grafana ermöglicht es Administratoren, ihre Rechte auf Server-Administrator zu erweitern, wenn die Auth-Proxy-Authentifizierung verwendet wird. Angreifer können eine gefälschte Datenquelle erstellen, die auf localhost zeigt und Admin-Benutzerdaten enthält.

Ein Fehler in Grafanas rollenbasierter Zugriffskontrolle ermöglicht es Benutzern mit Editor- oder Viewer-Rechten, auf Ordner und Dashboards zuzugreifen, die eigentlich nur für Administratoren bestimmt sind.

Eine Sicherheitslücke in Grafana ermöglicht es Plugins, Authentifizierungs-Cookies von Benutzern zu erhalten, was unter bestimmten Bedingungen bei Datenquellen- und Plugin-Proxy-Endpunkten auftritt.

Grafana hat eine Schwachstelle in der Benutzeranmeldung, bei der ein Angreifer verhindern kann, dass sich legitime Nutzer einloggen, indem er einen Benutzernamen registriert, der der E-Mail-Adresse eines anderen entspricht.

Grafana hat eine Schwachstelle bei Einladungslinks, die es Angreifern ermöglicht, sich mit beliebigen Benutzernamen oder E-Mail-Adressen in Organisationen zu registrieren und dadurch unberechtigt Zugang zu erhalten.

Grafana-Anwendungen bis Version 9.x haben eine Schwachstelle, die es Angreifern ermöglicht herauszufinden, welche Benutzernamen oder E-Mail-Adressen im System existieren, indem sie die Passwort-Zurücksetzen-Funktion missbrauchen.

In Grafana können Benutzer mit Viewer-Berechtigung beim Erstellen von Dashboard-Snapshots eine beliebige URL einschleusen, die anderen Nutzern als vertrauenswürdiger Link zum ursprünglichen Dashboard angezeigt wird.

Eine Race Condition in Grafana ermöglicht es nicht authentifizierten Benutzern, geschützte Endpunkte abzufragen, da unter hoher Last HTTP-Anfragen falsche Authentifizierungs-Middleware erhalten können.

Eine Schwachstelle in Grafana Enterprise ermöglicht es Angreifern, ihre Berechtigungen zu erweitern, indem sie SAML-Antworten mit mehreren Behauptungen manipulieren. Betroffen sind nur unsignierte SAML-Dokumente mit mindestens einer signierten Behauptung, wodurch Admin-Zugriff erlangt werden kann.

Ein Fehler in Grafana Enterprise ermöglicht es Benutzern, Session-Cookies anderer Nutzer zu erhalten, wenn die Datenquellen-Cache-Funktion aktiviert ist, wodurch unbefugter Zugriff auf fremde Benutzerkonten möglich wird.

Eine Schwachstelle in Grafanas GeoMap-Plugin ermöglicht es Benutzern mit Editor-Rechten, schädlichen JavaScript-Code über SVG-Dateien einzuschleusen, der dann im Browser anderer Nutzer ausgeführt wird und zur Rechteausweitung missbraucht werden kann.

Eine Sicherheitslücke in Grafanas Text-Plugin ermöglicht es Benutzern mit Editor-Rechten, schädlichen JavaScript-Code zu speichern, der ausgeführt wird, wenn Admin-Benutzer das Panel bearbeiten und bestimmte Optionen anklicken.

Sicherheitsupdate behebt zehn CVE-Schwachstellen in Grafana

Sicherheitsupdate behebt zehn CVE-Schwachstellen in Grafana

Sicherheitsupdate behebt kritische Schwachstellen und einen Fehler bei der Aktualisierung der Alertmanager-Konfiguration

Sicherheitsupdate mit Fixes für zehn CVE-Schwachstellen

Sicherheitsupdate behebt zehn CVE-Schwachstellen in Grafana

Grafana 13.0.1 behebt Migrationsprobleme im Unified Storage und verbessert Dashboard-Zeitzonenverwaltung sowie Provisioning-Validierung

Wartungsupdate mit Go-Aktualisierung auf Version 1.25.9, Verbesserungen bei Analytics und Reporting sowie Dokumentationsfix für Alerting-Metriken

Sicherheitsupdate mit Korrekturen für vier CVE-Schwachstellen

Sicherheitsupdate mit Fixes für mehrere CVE-Schwachstellen

Sicherheitsupdate behebt mehrere CVE-Schwachstellen

Sicherheitsupdate mit Fixes für mehrere CVE-Schwachstellen und Verbesserung der Public Dashboard-Sicherheit zwischen Organisationen

Sicherheitsupdate behebt kritische Schwachstelle CVE-2026-33375

Sicherheitsupdate behebt kritische Schwachstelle CVE-2026-33375

Sicherheitsupdate behebt kritische Schwachstelle CVE-2026-33375

Sicherheitsupdate behebt kritische Schwachstelle CVE-2026-33375

Patch-Release mit Sicherheitsfixes für mehrere CVEs, Verbesserungen bei Barrierefreiheit und Fehlerbehebungen für Plugins und Dashboards

Go-Runtime auf Version 1.25.8 aktualisiert

Go-Runtime auf Version 1.25.8 aktualisiert und Unterstützung für benutzerdefinierte CA-Zertifikate im Image Renderer hinzugefügt

Wartungsupdate mit Go 1.25.8, Unterstützung für benutzerdefinierte CA-Zertifikate im Image Renderer und Fehlerbehebung für Dashboard-Versionslisten-API

Wartungsupdate mit Go 1.25.8, Unterstützung für benutzerdefinierte CA-Zertifikate im Image Renderer und Fehlerbehebung für Dashboard-Versionslisten-API

Wartungsupdate mit Go-Aktualisierung auf 1.25.8, verbesserter Zugriffskontrolle und Fehlerbehebungen für Alerting und MariaDB-Kompatibilität

Grafana 12.4.0 bringt umfangreiche Verbesserungen im Alerting-Bereich mit neuen UI-Features, RBAC-Berechtigungen und Performance-Optimierungen

Grafana v11.6.12 wurde veröffentlicht mit Download-Links und Dokumentation zu neuen Features

Fehlerbehebung für Datenquellen-Variablen-Templating beim Dashboard-Export

Fehlerbehebung für Datenquellen-Variablen-Templating beim Dashboard-Export

Fehlerbehebungen für Dashboard-Export mit Datenquellen-Variablen und Provisioning mit nanogit-Bibliothek

Grafana 12.0.10 fügt Größenbeschränkungen für erweiterte Benachrichtigungsvorlagen hinzu und verbessert die Sicherheit bei öffentlichen Dashboard-Annotationen