CRITICAL🇬🇧 English

CVE-2025-41115

Grafana Enterprise: privilege escalation przez SCIM provisioning (LPE)

CVSS 10.0v3.1pub. 2025-11-21upd. 2026-01-08

W Grafana Enterprise i Grafana Cloud w wersji 12.x podatność w obsłudze tożsamości użytkowników podczas SCIM provisioning pozwala złośliwemu lub skompromitowanemu klientowi SCIM na eskalację uprawnień lub podszywanie się pod innych użytkowników. Podatność otrzymała maksymalny wynik CVSS 10.0 i może prowadzić do całkowitego przejęcia kontroli nad instancją.

Pokaż oryginał (EN)

SCIM provisioning was introduced in Grafana Enterprise and Grafana Cloud in April to improve how organizations manage users and teams in Grafana by introducing automated user lifecycle management. In Grafana versions 12.x where SCIM provisioning is enabled and configured, a vulnerability in user identity handling allows a malicious or compromised SCIM client to provision a user with a numeric externalId, which in turn could allow to override internal user IDs and lead to impersonation or privilege escalation. This vulnerability applies only if all of the following conditions are met: - `enableSCIM` feature flag set to true - `user_sync_enabled` config option in the `[auth.scim]` block set to true

🤖 Analiza AI
Jak działa

Funkcja SCIM provisioning, wprowadzona w celu automatycznego zarządzania cyklem życia użytkowników, nieprawidłowo obsługuje wartość pola externalId. Złośliwy lub skompromitowany klient SCIM może dostarczyć numeryczną wartość externalId podczas tworzenia lub aktualizacji użytkownika. Taka wartość może zostać potraktowana przez Grafanę jako wewnętrzne ID użytkownika, co umożliwia nadpisanie identyfikatorów istniejących kont. W efekcie atakujący może uzyskać dostęp do konta innego użytkownika lub podnieść własne uprawnienia do wyższego poziomu.

Skutki

Atakujący może przeprowadzić privilege escalation i uzyskać uprawnienia dowolnego użytkownika w systemie, w tym administratora, lub podszyć się pod istniejące konto. W skrajnym scenariuszu możliwe jest pełne przejęcie instancji Grafana z dostępem do poufnych danych, pulpitów i konfiguracji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://grafana.com/security/security-advisories/CVE-2025-41115). Do czasu aktualizacji zaleca się wyłączenie SCIM provisioning poprzez ustawienie `enableSCIM` na `false` lub `user_sync_enabled` na `false` w konfiguracji `[auth.scim]`, jeśli funkcjonalność ta nie jest niezbędna.

Kogo dotyczy

Grafana Enterprise oraz Grafana Cloud w wersji 12.x, wyłącznie gdy jednocześnie spełnione są oba warunki: feature flag `enableSCIM` ustawiony na `true` oraz opcja `user_sync_enabled` w sekcji `[auth.scim]` ustawiona na `true`.

Uwagi

Podatność dotyczy wyłącznie instancji z aktywnie skonfigurowanym SCIM provisioning — instalacje bez tej funkcji (domyślna konfiguracja) nie są narażone. Funkcja SCIM provisioning została wprowadzona w Grafana Enterprise i Grafana Cloud w kwietniu (rok nie podano wprost w opisie).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Grafana

    APP
    Grafana
    12.0.0 – 12.2.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2021-39226CRITICAL9.8⚠ KEVten sam produkt

Grafana is an open source data visualization platform. In affected versions unauthenticated and authenticated ...

CVE-2026-27876CRITICAL9.1PL ✓ten sam produkt

RCE w Grafana przez SQL Expressions i plugin Enterprise (CVE-2026-27876)

CVE-2024-9264CRITICAL9.4PL ✓ten sam produkt

Grafana: command injection i local file inclusion przez SQL Expressions (duckdb)

CVE-2023-3128CRITICAL9.4ten sam produkt

Grafana is validating Azure AD accounts based on the email claim. On Azure AD, the profile email field is no...

CVE-2022-39328CRITICAL9.8ten sam produkt

Grafana is an open-source platform for monitoring and observability. Versions starting with 9.2.0 and less tha...