A Grafana Labs alertou para uma vulnerabilidade de severidade máxima (
CVE-2025-41115
) em sua versão Enterprise, que pode ser explorada para conceder privilégios administrativos a novos usuários ou permitir escalonamento de privilégios.
O problema só ocorre quando o provisioning via SCIM (System for Cross-domain Identity Management) está ativado e configurado.
Para que a falha seja explorada, as opções 'enableSCIM' e 'user_sync_enabled' devem estar ativadas (true).
Nessa situação, um cliente SCIM malicioso ou comprometido pode criar um usuário com um externalId numérico que se mapeia para uma conta interna existente — incluindo contas administrativas.
O externalId é um atributo usado pelo provedor de identidade para gerenciar usuários.
Como a Grafana mapeia diretamente esse valor para o identificador interno user.uid, um externalId numérico, como "1", pode ser interpretado como uma conta interna já cadastrada, permitindo impersonação ou escalonamento de privilégios.
Segundo a documentação da Grafana, o provisionamento via SCIM está em "Public Preview" e oferece suporte limitado, indicando que a adoção dessa funcionalidade ainda é restrita.
A plataforma Grafana é amplamente utilizada para visualização de dados e monitoramento, atendendo desde startups até empresas da Fortune 500.
Ela transforma métricas, logs e outros dados operacionais em dashboards, alertas e análises.
A vulnerabilidade afeta as versões Enterprise da Grafana entre 12.0.0 e 12.2.1, quando o SCIM está ativado.
Usuários da versão open source (Grafana OSS) não são afetados.
Os serviços Grafana Cloud, incluindo Amazon Managed Grafana e Azure Managed Grafana, receberam os patches necessários.
Administradores de instalações self-managed devem corrigir a vulnerabilidade atualizando para uma das versões abaixo:
- Grafana Enterprise 12.3.0
- Grafana Enterprise 12.2.1
- Grafana Enterprise 12.1.3
- Grafana Enterprise 12.0.6
"Se sua instância estiver vulnerável, recomendamos fortemente a atualização para uma das versões corrigidas o mais rápido possível", alerta a Grafana Labs.
A falha foi descoberta durante auditoria interna em 4 de novembro, e a atualização de segurança foi lançada cerca de 24 horas depois.
Nesse intervalo, a equipe investigou e confirmou que a vulnerabilidade não havia sido explorada no Grafana Cloud.
O comunicado público e o boletim de segurança foram divulgados em 19 de novembro.
Usuários da Grafana são aconselhados a aplicar os patches disponíveis imediatamente ou, alternativamente, desabilitar o SCIM para mitigar riscos.
No mês passado, a GreyNoise reportou atividade incomum de scanners focados em uma antiga vulnerabilidade de path traversal no Grafana.
Como já indicado pelos pesquisadores, esse tipo de varredura pode indicar o mapeamento de instâncias expostas, possivelmente preparando o terreno para a divulgação de uma nova falha.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...