Grafana ha publicado actualizaciones de seguridad para abordar una falla de seguridad de máxima gravedad que podría permitir la escalada de privilegios o la suplantación de usuarios en determinadas configuraciones.
La vulnerabilidad, rastreada como CVE-2025-41115tiene una puntuación CVSS de 10,0. Reside en el componente del Sistema para la gestión de identidades entre dominios (SCIM) que permite el aprovisionamiento y la gestión automatizados de usuarios. Presentado por primera vez en abril de 2025, actualmente se encuentra en versión preliminar pública.
«En las versiones 12.x de Grafana, donde el aprovisionamiento SCIM está habilitado y configurado, una vulnerabilidad en el manejo de la identidad del usuario permite que un cliente SCIM malicioso o comprometido proporcione a un usuario un ID externo numérico, lo que a su vez podría permitir anular los ID de usuario internos y conducir a la suplantación o escalada de privilegios», dijo Vardan Torosyan de Grafana.
Dicho esto, una explotación exitosa depende del cumplimiento de ambas condiciones:
- El indicador de función enableSCIM está establecido en verdadero.
- La opción de configuración user_sync_enabled en el bloque (auth.scim) está establecida en verdadero
La deficiencia afecta a las versiones de Grafana Enterprise desde 12.0.0 a 12.2.1. Se ha solucionado en las siguientes versiones del software:
- Grafana Enterprise 12.0.6+seguridad-01
- Grafana Enterprise 12.1.3+seguridad-01
- Grafana Enterprise 12.2.1+seguridad-01
- Grafana Empresa 12.3.0
«Grafana asigna el SCIM externalId directamente al usuario interno.uid; por lo tanto, los valores numéricos (por ejemplo, ‘1’) pueden interpretarse como ID de usuario numéricos internos», dijo Torosyan. «En casos específicos, esto podría permitir que el usuario recién aprovisionado sea tratado como una cuenta interna existente, como el administrador, lo que lleva a una posible suplantación o escalada de privilegios».
La plataforma de análisis y observabilidad dijo que la vulnerabilidad se descubrió internamente el 4 de noviembre de 2025, durante una auditoría y pruebas. Dada la gravedad del problema, se recomienda a los usuarios que apliquen los parches lo antes posible para mitigar los riesgos potenciales.