In der kommerziellen Monitoring- und Visualisierungsplattform Grafana Enterprise ist eine kritische Schwachstelle mit der Kennung CVE-2025-41115 bekannt geworden. Die Luecke erhaelt den maximalen CVSS-Score 10.0 und ermoeglicht unter bestimmten Voraussetzungen die vollstaendige Uebernahme einer Grafana-Instanz – inklusive Administratorrechten – ohne Kenntnis von Passwoertern.
Technischer Hintergrund der Sicherheitsluecke CVE-2025-41115
Die Schwachstelle tritt ausschliesslich auf, wenn in Grafana Enterprise das SCIM Provisioning (System for Cross-domain Identity Management) aktiviert ist. Konkret muessen die Konfigurationsparameter enableSCIM und user_sync_enabled auf true gesetzt sein. Derartige Setups finden sich vor allem in Unternehmen, die Benutzer zentral ueber einen Identity Provider (IdP) verwalten und Konten automatisiert synchronisieren.
Kern des Problems ist der Umgang mit dem SCIM-Attribut externalId. Dieser Wert dient auf Seite des IdP zur eindeutigen Identifizierung eines Benutzers. In den betroffenen Versionen wird externalId jedoch direkt mit dem internen Benutzer-Identifikator user.uid von Grafana verknuepft. Wird nun durch einen SCIM-Client ein Benutzer mit einer numerischen externalId angelegt, etwa „1“, kann es zu einer fehlerhaften Zuordnung zu einer bereits bestehenden internen Identitaet kommen – im Extremfall zum Administrator-Account.
Durch diese fehlerhafte Korrelation wird eine Account-Impersonation moeglich: Ein neu angelegtes SCIM-Konto wird als interner Benutzer interpretiert und uebernimmt dessen Rollen und Berechtigungen. Damit ist auch eine Privilegienerweiterung bis hin zur Admin-Kompromittierung moeglich, ohne dass der eigentliche Authentifizierungsmechanismus angegriffen werden muss.
Angriffsszenario: Missbrauch von SCIM-Clients und IdP-Integrationen
Voraussetzungen fuer die Ausnutzung von CVE-2025-41115
Nach Angaben der Entwickler setzt ein erfolgreicher Angriff einen bösartigen oder kompromittierten SCIM-Client voraus, der berechtigt ist, Benutzer in Grafana anzulegen oder zu aktualisieren. In der Praxis kommen mehrere Szenarien in Frage:
— Ein kompromittierter Identity Provider oder ein angebundener SaaS-Dienst, der SCIM verwendet.
— Ein unzureichend abgesicherter Integrationsdienst (Middleware), der als SCIM-Client agiert.
— Ein Angreifer, der Zugriff auf SCIM-Token oder andere Anmeldedaten des SCIM-Clients erlangt hat.
Verfuegt ein Angreifer ueber diese Rechte, kann er gezielt einen neuen Benutzer mit einer numerischen externalId erzeugen, die einem bestehenden internen user.uid entspricht. Aufgrund des fehlerhaften Matchings behandelt Grafana das neue Konto dann als das bereits vorhandene interne Benutzerkonto und uebernimmt dessen Rechte unveraendert.
Branchenberichte zu Identitaetsangriffen – etwa der jaehrliche Data Breach Investigations Report (DBIR) – zeigen seit Jahren, dass Schwachstellen im Identity- und Access-Management zu den wichtigsten Einfallstoren fuer Angreifer gehoeren. CVE-2025-41115 folgt genau diesem Muster: Angreifer nutzen Vertrauensbeziehungen zwischen Plattform, IdP und Integrationsdiensten aus, anstatt klassische Schwachstellen wie SQL-Injection oder Remote Code Execution ins Visier zu nehmen.
Betroffene Versionen und aktueller Patch-Status
Nach derzeitigem Stand sind nur selbst betriebene Installationen von Grafana Enterprise in den Versionen 12.0.0 bis 12.2.1 betroffen – und auch nur dann, wenn SCIM Provisioning aktiv ist. Ist SCIM deaktiviert, tritt die Schwachstelle nicht auf.
Nicht betroffen sind laut Hersteller:
— Die Open-Source-Variante Grafana OSS.
— Die gehosteten Dienste Grafana Cloud, Amazon Managed Grafana und Azure Managed Grafana, fuer die bereits Patches eingespielt wurden.
Die Schwachstelle wurde am 4. November 2025 im Rahmen eines internen Sicherheitsaudits identifiziert. Ein Fix stand innerhalb von 24 Stunden zur Verfuegung. Laut Hersteller liegen bislang keine Hinweise auf eine aktive Ausnutzung innerhalb der Grafana-Cloud-Infrastruktur vor.
Empfehlungen fuer Administratoren: Patchen, SCIM pruefen, Monitoring schaerfen
Betreiber von self-managed Grafana-Enterprise-Instanzen sollten kurzfristig auf eine abgesicherte Version aktualisieren. Der Hersteller nennt insbesondere die Releases 12.3.0, 12.2.1, 12.1.3 und 12.0.6 als gepatchte Versionen. Angesichts des CVSS-Basiswerts von 10.0 sollte das Update als Sofortmassnahme mit hoher Prioritaet eingestuft werden.
Ist ein zeitnahes Update organisatorisch nicht realisierbar, empfiehlt sich als temporaere, aber wirksame Gegenmassnahme die vollstaendige Deaktivierung von SCIM Provisioning. Dazu muessen die Parameter enableSCIM und user_sync_enabled auf false gesetzt werden. Damit entfällt zwar die automatische Benutzersynchronisation, gleichzeitig wird jedoch der Angriffsweg ueber SCIM geschlossen.
Ergaenzend sollten Unternehmen folgende Schritte praeferieren:
— Audit aller bestehenden IdP- und SCIM-Integrationen, einschliesslich Berechtigungspruefung der verwendeten SCIM-Clients.
— Ueberpruefung und Härtung des Umgangs mit API-Tokens, Service-Konten und technischen Benutzerzugängen im Identity-Umfeld.
— Aktivierung oder Verschaerfung des Monitorings fuer auffaellige Kontoaenderungen, insbesondere bei Administrator- und Systemkonten.
Einordnung: Wachsende Angriffsoberflaeche durch Monitoring- und Identity-Plattformen
Unabhaengig von CVE-2025-41115 registrierten Threat-Intelligence-Anbieter wie GreyNoise kuerzlich einen deutlichen Anstieg automatisierter Scans, die gezielt nach aelteren Schwachstellen in Grafana suchen. Dies unterstreicht den anhaltenden Fokus von Angreifern auf weit verbreitete Monitoring-Plattformen, die tiefe Einblicke in Infrastruktur und Betriebsdaten bieten.
Integrationen mit externen Identity Providern und Protokollen wie SCIM vereinfachen zwar das Benutzer- und Rechte-Management in komplexen Umgebungen, erhoehen aber zugleich die Angriffsoberflaeche. Fehlkonfigurationen oder Implementierungsfehler in diesen Schnittstellen fuehren haeufig zu besonders schwerwiegenden Folgen, da sie direkt die Kontrolle ueber Benutzerkonten und Rollen betreffen.
Der aktuelle Vorfall zeigt, wie wichtig regelmaessige interne Sicherheitsaudits, eine zurueckhaltende Nutzung von Preview- oder Beta-Funktionen in produktiven Umgebungen und ein stringentes Patch-Management sind. Organisationen, die Grafana Enterprise oder vergleichbare Monitoring-Loesungen einsetzen, sollten ihre Prozesse zu Least-Privilege-Konzepten, Change-Monitoring fuer Administratoren und schnellen Sicherheitsupdates ueberpruefen und bei Bedarf nachschaerfen, um aehnliche Risiken kuenftig zu minimieren.
