Η Grafana Labs αποκάλυψε μια κρίσιμη ευπάθεια ασφαλείας που επηρεάζει το Grafana Enterprise που θα μπορούσε να επιτρέψει στους εισβολείς να κλιμακώσουν τα προνόμια και να πλαστοπροσωπήσουν τους χρήστες.
Το ελάττωμα, που παρακολουθείται ως CVE-2025-41115, έχει λάβει τη μέγιστη βαθμολογία CVSS 10,0, καθιστώντας το ένα από τα πιο σοβαρά τρωτά σημεία που ανακαλύφθηκαν τον τελευταίο καιρό.
Η ευπάθεια υπάρχει στη δυνατότητα ρύθμισης SCIM (System for Cross-domain Identity Management) της Grafana, η οποία εισήχθη τον Απρίλιο του 2025 για να βοηθήσει τους οργανισμούς να αυτοματοποιήσουν τη διαχείριση του κύκλου ζωής των χρηστών.
Το ζήτημα επηρεάζει τις εκδόσεις 12.0.0 έως 12.2.1 του Grafana Enterprise, όπου η ρύθμιση SCIM είναι ενεργοποιημένη και ρυθμισμένη.
Σύμφωνα με την Grafana Labs, η ευπάθεια προέρχεται από λανθασμένο χειρισμό των ταυτοτήτων των χρηστών. Ένα κακόβουλο ή παραβιασμένο πρόγραμμα-πελάτη SCIM θα μπορούσε να παρέχει σε έναν χρήστη ένα αριθμητικό εξωτερικό αναγνωριστικό, το οποίο ενδέχεται να υπερισχύει των εσωτερικών αναγνωριστικών χρηστών.
| Ιδιότης | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-41115 |
| Τύπος ευπάθειας | Εσφαλμένη εκχώρηση προνομίων / πλαστοπροσωπία χρήστη |
| Βαθμολογία CVSS | 10.0 |
| Αυστηρότητα | Κρίσιμος |
| Προϊόντα που επηρεάζονται | Grafana Enterprise (με ενεργοποιημένη την παροχή SCIM) |
| Επηρεασμένες εκδόσεις | Grafana Enterprise 12.0.0 έως 12.2.1 |
Αυτό θα μπορούσε να επιτρέψει στους εισβολείς να μιμούνται τους υπάρχοντες χρήστες, συμπεριλαμβανομένων των διαχειριστών, οδηγώντας σε πλήρη παραβίαση του συστήματος.
Το ελάττωμα επηρεάζει μόνο συστήματα όπου τόσο η σημαία δυνατότητας enableSCIM όσο και η επιλογή διαμόρφωσης user_sync_enabled έχουν οριστεί σε true. Αυτή η ευπάθεια δεν επηρεάζει τους χρήστες Grafana OSS.
Grafana Labs ανακαλυφθείς την ευπάθεια κατά τη διάρκεια ελέγχων εσωτερικής ασφάλειας στις 4 Νοεμβρίου 2025 και αμέσως δήλωσε εσωτερικό συμβάν.
Η εταιρεία επιβεβαίωσε ότι δεν έλαβε χώρα καμία εκμετάλλευση σε περιβάλλοντα Grafana Cloud και κυκλοφόρησε ενημερώσεις κώδικα εντός ημερών.
Οι οργανισμοί που εκτελούν εκδόσεις που επηρεάζονται θα πρέπει να αναβαθμίσουν αμέσως σε επιδιορθωμένες εκδόσεις, συμπεριλαμβανομένων των Grafana Enterprise 12.3.0, 12.2.1, 12.1.3 ή 12.0.6.
Οι πελάτες του Grafana Cloud και οι διαχειριζόμενοι χρήστες υπηρεσιών στις πλατφόρμες Amazon και Azure έχουν ήδη λάβει αυτόματες ενημερώσεις ασφαλείας.
