Grafana近日发布安全更新,修复了一处CVSS 10.0分安全漏洞CVE-2025-41115。该漏洞在特定配置下可能引发权限提升或用户身份冒充风险。
Part01
技术详情
该漏洞编号为CVE-2025-41115,CVSS评分达10.0满分,存在于跨域身份管理系统(SCIM)组件中。该系统支持自动化用户配置与管理功能,最早于2025年4月推出,目前处于公开测试阶段。
Grafana工程师Vardan Torosyan指出:在启用SCIM配置的Grafana 12.x版本中,用户身份处理机制存在缺陷。恶意或被入侵的SCIM客户端可通过配置包含数字型externalId的用户,覆盖内部用户ID,最终导致身份冒充或权限提升。
需要强调的是,成功利用此漏洞需同时满足两个前提条件:
enableSCIM功能标志设置为true
[auth.scim]配置块中的user_sync_enabled选项设置为true
Part02
影响范围
该漏洞影响Grafana Enterprise 12.0.0至12.2.1版本,以下已修复版本可消除风险:
Grafana Enterprise 12.0.6+security-01
Grafana Enterprise 12.1.3+security-01
Grafana Enterprise 12.2.1+security-01
Grafana Enterprise 12.3.0
Part03
机制分析
Grafana工程师表示:Grafana将SCIM外部ID直接映射至内部用户UID,因此数值型ID(如‘1’)可能被识别为内部数字用户ID。在特定情况下,新配置的用户会被识别为现有内部账户(例如管理员),从而导致身份冒充或权限提升风险。
该漏洞由Grafana团队在2025年11月4日的审计与测试过程中内部发现。鉴于漏洞的严重性,建议用户立即安装补丁以规避潜在风险。
上一条:Grafana仪表盘
下一条:Grafana 12.3 新版本发布说明:交互式学习体验、全新日志可视化等精彩功能
沪公网安备31011302006932号