Grafana ha publicado actualizaciones de seguridad para acometer una equivocación de seguridad de máxima peligro que podría permitir la subida de privilegios o la suplantación de usuarios en determinadas configuraciones.
La vulnerabilidad, rastreada como CVE-2025-41115tiene una puntuación CVSS de 10,0. Reside en el componente del Sistema para la gobierno de identidades entre dominios (SCIM) que permite el aprovisionamiento y la gobierno automatizados de usuarios. Presentado por primera vez en abril de 2025, actualmente se encuentra en lectura preliminar pública.
“En las versiones 12.x de Grafana, donde el aprovisionamiento SCIM está capacitado y configurado, una vulnerabilidad en el manejo de la identidad del usufructuario permite que un cliente SCIM solapado o comprometido proporcione a un usufructuario un ID foráneo algorítmico, lo que a su vez podría permitir anular los ID de usufructuario internos y conducir a la suplantación o subida de privilegios”, dijo Vardan Torosyan de Grafana.
Dicho esto, una explotación exitosa depende del cumplimiento de ambas condiciones:
- El indicador de función enableSCIM está establecido en definitivo.
- La opción de configuración user_sync_enabled en el coalición (auth.scim) está establecida en definitivo
La deficiencia afecta a las versiones de Grafana Enterprise desde 12.0.0 a 12.2.1. Se ha solucionado en las siguientes versiones del software:
- Grafana Enterprise 12.0.6+seguridad-01
- Grafana Enterprise 12.1.3+seguridad-01
- Grafana Enterprise 12.2.1+seguridad-01
- Grafana Empresa 12.3.0
“Grafana asigna el SCIM externalId directamente al usufructuario interno.uid; por lo tanto, los títulos numéricos (por ejemplo, ‘1’) pueden interpretarse como ID de usufructuario numéricos internos”, dijo Torosyan. “En casos específicos, esto podría permitir que el usufructuario recién aprovisionado sea tratado como una cuenta interna existente, como el administrador, lo que lleva a una posible suplantación o subida de privilegios”.
La plataforma de prospección y observabilidad dijo que la vulnerabilidad se descubrió internamente el 4 de noviembre de 2025, durante una auditoría y pruebas. Dada la peligro del problema, se recomienda a los usuarios que apliquen los parches lo antiguamente posible para mitigar los riesgos potenciales.
