Компания Grafana Labs выпустила экстренные обновления безопасности для устранения критической уязвимости в функции SCIM-провиженинга, которая могла позволить злоумышленникам повышать привилегии или осуществлять несанкционированное представление учетных записей пользователей. Уязвимость, получившая идентификатор CVE-2025-41115 с максимальным баллом CVSS 10.0, затрагивает Grafana Enterprise версий с 12.0.0 по 12.2.1 при определенных конфигурациях.
Детали уязвимости
Проблема безопасности была обнаружена в механизме System for Cross-domain Identity Management (SCIM), который компания внедрила в апреле 2025 года для автоматизации управления жизненным циклом пользователей. Основная уязвимость заключается в неправильном назначении привилезий при обработке сопоставления идентификаторов пользователей. Конкретно, злонамеренный или скомпрометированный SCIM-клиент мог создавать пользователей с числовыми внешними идентификаторами, которые могли переопределять внутренние ID пользователей. Это создавало возможность получения доступа к существующим привилегированным учетным записям, включая администраторские.
Важно отметить, что уязвимость проявляется только в специфических условиях. Во-первых, необходимо активировать функциональный флаг enableSCIM со значением true. Во-вторых, должна быть включена опция user_sync_enabled в блоке конфигурации auth.scim. Организации, не использующие SCIM-провиженинг, не подвержены данной угрозе. Кроме того, пользователи Grafana OSS полностью защищены от этой уязвимости.
При наличии указанных условий система начинала напрямую сопоставлять внешние SCIM-идентификаторы с внутренними UID пользователей. Злоумышленник, эксплуатирующий эту уязвимость, мог создать пользователя с числовым внешним ID, соответствующим существующей администраторской учетной записи. Следовательно, он получал административные привилегии без надлежащей авторизации. В некоторых сценариях это приводило к полному представлению учетной записи.
Grafana Labs выпустила исправленные версии 19 ноября 2025 года. Безопасные обновления включают Enterprise 12.3.0, 12.2.1, 12.1.3 и 12.0.6. Компания настоятельно рекомендует немедленно обновиться до одной из этих версий. Клиенты Grafana Cloud уже защищены, поскольку исправления были применены ко всем управляемым облачным экземплярам до публичного раскрытия информации. Amazon Managed Grafana и Azure Managed Grafana также подтвердили безопасность своих предложений.
Компания обнаружила эту уязвимость в ходе внутреннего тестирования безопасности и немедленно приступила к разработке мер по устранению. Нет свидетельств того, что данная уязвимость эксплуатировалась в средах Grafana Cloud до внедрения исправлений. Grafana Labs скоординировала раннее уведомление со всеми облачными провайдерами в режиме эмбарго, обеспечив быстрое развертывание исправлений до публичного объявления. Весь процесс от обнаружения до публичного выпуска исправлений занял примерно 15 дней, что демонстрирует ответственный подход компании к раскрытию информации.
Организациям следует расставить приоритеты по обновлению затронутых экземпляров и проверить адекватность защиты конфигураций SCIM-провиженинга. Для тех, кто не может немедленно обновиться, временной мерой защиты может стать отключение SCIM-провиженинга или опции user_sync_enabled до момента развертывания исправлений. Организациям, подозревающим эксплуатацию уязвимости, следует проверить журналы аудита на предмет подозрительной активности по созданию пользователей и проверить наличие неожиданного доступа к администраторским учетным записям.
Командам безопасности рекомендуется отслеживать официальный блог Grafana для получения дополнительных рекомендаций и координировать обновления с командами ИТ-инфраструктуры, чтобы минимизировать перерывы в обслуживании во время установки исправлений. Своевременное применение обновлений остается наиболее эффективным способом защиты от потенциальных атак, использующих данную уязвимость.
