Grafana ha publicado actualizaciones de seguridad para abordar una falla de seguridad de máxima gravedad que podría permitir la escalada de privilegios o la suplantación de usuarios en determinadas configuraciones.
La vulnerabilidad, rastreada como CVE-2025-41115 , tiene una puntuación CVSS de 10,0. Reside en el sistema de gestión de identidades entre dominios ( CIMA ) componente que permite el aprovisionamiento y la administración automatizados de los usuarios. Primero introducido en abril de 2025, actualmente se encuentra en versión preliminar pública.
«En las versiones 12.x de Grafana, en las que el aprovisionamiento de SCIM está habilitado y configurado, una vulnerabilidad en la gestión de la identidad de los usuarios permite a un cliente de SCIM malintencionado o comprometido aprovisionar a un usuario con un ID externo numérico, lo que a su vez podría permitir anular los ID de usuario internos y provocar la suplantación de identidad o la escalada de privilegios», dijo Vardan Torosyan, de Grafana dijo .
Dicho esto, el éxito de la explotación depende de que se cumplan ambas condiciones-
- El indicador de función EnableSCIM está establecido en verdadero
- La opción de configuración user_sync_enabled del bloque [auth.scim] está establecida en true
La deficiencia afecta a las versiones de Grafana Enterprise de 12.0.0 a 12.2.1. Se ha solucionado en las siguientes versiones del software:
- Grafana Enterprise 12.0.6+Seguridad-01
- Grafana Enterprise 12.1.3+Seguridad-01
- Grafana Enterprise 12.2.1+Seguridad-01
- Grafana Enterprise 12.3.0
«Grafana asigna el ExternalID del SCIM directamente al usuario.uid interno; por lo tanto, los valores numéricos (por ejemplo, '1') pueden interpretarse como ID de usuario numéricos internos», dijo Torosyan. «En casos específicos, esto podría permitir tratar al usuario recién aprovisionado como una cuenta interna existente, como la de administrador, lo que podría provocar una suplantación de identidad o una escalada de privilegios».
La plataforma de análisis y observabilidad dijo que la vulnerabilidad se descubrió internamente el 4 de noviembre de 2025, durante una auditoría y pruebas. Dada la gravedad del problema, se recomienda a los usuarios que apliquen los parches lo antes posible para mitigar los posibles riesgos.