W Grafana Enterprise i Grafana Cloud w wersji 12.x podatność w obsłudze tożsamości użytkowników podczas SCIM provisioning pozwala złośliwemu lub skompromitowanemu klientowi SCIM na eskalację uprawnień lub podszywanie się pod innych użytkowników. Podatność otrzymała maksymalny wynik CVSS 10.0 i może prowadzić do całkowitego przejęcia kontroli nad instancją.
▸ Pokaż oryginał (EN)
SCIM provisioning was introduced in Grafana Enterprise and Grafana Cloud in April to improve how organizations manage users and teams in Grafana by introducing automated user lifecycle management. In Grafana versions 12.x where SCIM provisioning is enabled and configured, a vulnerability in user identity handling allows a malicious or compromised SCIM client to provision a user with a numeric externalId, which in turn could allow to override internal user IDs and lead to impersonation or privilege escalation. This vulnerability applies only if all of the following conditions are met: - `enableSCIM` feature flag set to true - `user_sync_enabled` config option in the `[auth.scim]` block set to true
Funkcja SCIM provisioning, wprowadzona w celu automatycznego zarządzania cyklem życia użytkowników, nieprawidłowo obsługuje wartość pola externalId. Złośliwy lub skompromitowany klient SCIM może dostarczyć numeryczną wartość externalId podczas tworzenia lub aktualizacji użytkownika. Taka wartość może zostać potraktowana przez Grafanę jako wewnętrzne ID użytkownika, co umożliwia nadpisanie identyfikatorów istniejących kont. W efekcie atakujący może uzyskać dostęp do konta innego użytkownika lub podnieść własne uprawnienia do wyższego poziomu.
Atakujący może przeprowadzić privilege escalation i uzyskać uprawnienia dowolnego użytkownika w systemie, w tym administratora, lub podszyć się pod istniejące konto. W skrajnym scenariuszu możliwe jest pełne przejęcie instancji Grafana z dostępem do poufnych danych, pulpitów i konfiguracji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://grafana.com/security/security-advisories/CVE-2025-41115). Do czasu aktualizacji zaleca się wyłączenie SCIM provisioning poprzez ustawienie `enableSCIM` na `false` lub `user_sync_enabled` na `false` w konfiguracji `[auth.scim]`, jeśli funkcjonalność ta nie jest niezbędna.
Grafana Enterprise oraz Grafana Cloud w wersji 12.x, wyłącznie gdy jednocześnie spełnione są oba warunki: feature flag `enableSCIM` ustawiony na `true` oraz opcja `user_sync_enabled` w sekcji `[auth.scim]` ustawiona na `true`.
Podatność dotyczy wyłącznie instancji z aktywnie skonfigurowanym SCIM provisioning — instalacje bez tej funkcji (domyślna konfiguracja) nie są narażone. Funkcja SCIM provisioning została wprowadzona w Grafana Enterprise i Grafana Cloud w kwietniu (rok nie podano wprost w opisie).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HGrafana
APPGrafana12.0.0 – 12.2.1 (bez)
Powiązane podatności
Grafana is an open source data visualization platform. In affected versions unauthenticated and authenticated ...
RCE w Grafana przez SQL Expressions i plugin Enterprise (CVE-2026-27876)
Grafana: command injection i local file inclusion przez SQL Expressions (duckdb)
Grafana is validating Azure AD accounts based on the email claim. On Azure AD, the profile email field is no...
Grafana is an open-source platform for monitoring and observability. Versions starting with 9.2.0 and less tha...