Компания Grafana Labs предупреждает о критической уязвимости (CVE-2025-41115) в своём корпоративном продукте, которую можно использовать для того, чтобы новые пользователи считались администраторами, или для повышения привилегий.
Проблема может быть использована только в том случае, если включена и настроена система SCIM (System for Cross-domain Identity Management).
В частности, для того чтобы вредоносный или скомпрометированный клиент SCIM мог предоставить пользователю числовой внешний идентификатор, соответствующий внутренней учётной записи, в том числе администраторам, необходимо установить для флагов ‘enableSCIM’ и ‘user_sync_enabled’ значение true.
externalId — это служебный атрибут SCIM, используемый поставщиком удостоверений для отслеживания пользователей.
Поскольку Grafana сопоставила это значение непосредственно с внутренним user.uid, числовой externalId, например \ «1\», может быть интерпретирован как существующая внутренняя учётная запись, что позволяет выдавать себя за другое лицо или повышать привилегии.
Согласно документации Grafana, подготовка к использованию SCIM в настоящее время находится на стадии «публичного предварительного просмотра» и имеет ограниченную поддержку. Из-за этого функция может не получить широкого распространения.
Grafana — это платформа для визуализации данных и мониторинга, которую используют самые разные организации, от стартапов до компаний из списка Fortune 500, для преобразования метрик, журналов и других операционных данных в информационные панели, оповещения и аналитические данные.
«В некоторых случаях это может привести к тому, что вновь зарегистрированный пользователь будет восприниматься как существующая внутренняя учётная запись, например администратор, что может привести к выдаче себя за другое лицо или повышению привилегий» — Grafana Labs
CVE-2025-41115 затрагивает версии Grafana Enterprise с 12.0.0 по 12.2.1 (при включенном SCIM).
Пользователи Grafana OSS не затронуты, а сервисы Grafana Cloud, включая Amazon Managed Grafana и Azure Managed Grafana, уже получили исправления.
Администраторы самостоятельно управляемых установок могут устранить риск, установив одно из следующих обновлений:
- Grafana Enterprise, версия 12.3.0
- Grafana Enterprise, версия 12.2.1
- Grafana Enterprise, версия 12.1.3
- Grafana Enterprise, версия 12.0.6
«Если ваш экземпляр уязвим, мы настоятельно рекомендуем как можно скорее перейти на одну из исправленных версий», — предупреждает Grafana Labs.
Уязвимость была обнаружена в ходе внутреннего аудита 4 ноября, а обновление системы безопасности было выпущено примерно через 24 часа.
За это время Grafana Labs провела расследование и установила, что уязвимость не использовалась в Grafana Cloud.
Публичный релиз обновления системы безопасности и сопроводительного бюллетеня состоялся 19 ноября.
Пользователям Grafana рекомендуется как можно скорее установить доступные исправления или изменить конфигурацию (отключить SCIM), чтобы устранить потенциальные уязвимости.
В прошлом месяце GreyNoise сообщил о необычно высокой активности сканирования, направленной на поиск старой уязвимости в Grafana, которая, как ранее отмечали исследователи, могла использоваться для составления карты открытых экземпляров в рамках подготовки к раскрытию новой уязвимости.