La plataforma de monitorización Grafana Enterprise se ha visto afectada por una vulnerabilidad crítica, identificada como CVE-2025-41115, con puntuación máxima CVSS 10.0. El fallo permite que un atacante cree una cuenta que la aplicación interpreta como un usuario interno legítimo —incluido un posible administrador—, abriendo la puerta a la toma de control completa de la instancia.
Qué es CVE-2025-41115 y por qué afecta al SCIM provisioning en Grafana Enterprise
La vulnerabilidad se manifiesta únicamente cuando está habilitado el mecanismo de SCIM provisioning (System for Cross-domain Identity Management). En términos prácticos, el riesgo aparece si los parámetros enableSCIM y user_sync_enabled están configurados en true, escenario habitual en entornos donde la gestión de identidades se centraliza a través de un Proveedor de Identidad (IdP) y se sincronizan usuarios de forma automática.
El núcleo del problema reside en el tratamiento del atributo externalId, utilizado en SCIM para identificar de forma unívoca a los usuarios en el IdP. En las versiones afectadas de Grafana Enterprise, este valor se asociaba directamente con el identificador interno user.uid. Si un cliente SCIM creaba un usuario con un externalId numérico (por ejemplo, “1”), el sistema podía vincularlo por error con una cuenta interna ya existente, incluso con una cuenta de administrador.
Este comportamiento habilita escenarios de suplantación de identidad (impersonation) y elevación de privilegios, al permitir que un atacante asuma las capacidades de una cuenta legítima sin necesidad de conocer su contraseña ni vulnerar el flujo de autenticación tradicional.
Cómo se explota la vulnerabilidad: papel del cliente SCIM comprometido
Ataques a través de IdP y servicios de integración mal protegidos
Según la información publicada por los desarrolladores, la explotación de CVE-2025-41115 requiere el control de un cliente SCIM malicioso o comprometido, autorizado para enviar peticiones de creación o actualización de usuarios a Grafana. Esto puede derivarse de:
— un IdP o servicio asociado vulnerado;
— un servicio de integración SCIM mal asegurado;
— el robo de tokens o credenciales del cliente SCIM.
Con estos permisos, el atacante podría crear un usuario con un externalId calculado para coincidir con el user.uid interno de una cuenta objetivo. Debido al mapeo incorrecto de identificadores, Grafana interpreta la nueva cuenta como un usuario interno y le asigna sus privilegios, lo que puede traducirse en acceso administrativo total a la plataforma de monitorización.
Versiones afectadas, alcance y estado de los servicios gestionados
La vulnerabilidad CVE-2025-41115 afecta exclusivamente a instalaciones self-managed de Grafana Enterprise en las versiones 12.0.0 a 12.2.1, y solo cuando el SCIM provisioning está habilitado. Si SCIM está desactivado, el fallo no se manifiesta.
Conviene destacar que:
— la versión Grafana OSS (edición de código abierto) no se ve afectada;
— los servicios Grafana Cloud, Amazon Managed Grafana y Azure Managed Grafana ya han sido corregidos;
— la funcionalidad SCIM en Grafana se encuentra en estado de Public Preview, por lo que su despliegue en entornos productivos aún no es masivo.
El fallo fue identificado el 4 de noviembre de 2025 durante una auditoría interna de seguridad. El proveedor preparó y publicó parches en menos de 24 horas y, según su investigación, no se han detectado intentos de explotación en la infraestructura de Grafana Cloud.
Medidas recomendadas: actualización, desactivación de SCIM y refuerzo del IdP
Para las instalaciones autogestionadas de Grafana Enterprise, la recomendación prioritaria es actualizar cuanto antes a una de las versiones corregidas: 12.3.0, 12.2.1, 12.1.3 o 12.0.6. Dada la puntuación CVSS 10.0 y el impacto directo sobre la integridad de las cuentas, el parcheo debe tratarse como una acción urgente de gestión de vulnerabilidades.
En aquellos entornos donde la actualización inmediata no sea viable, se propone como medida temporal efectiva la desactivación completa de SCIM provisioning (establecer enableSCIM=false y user_sync_enabled=false). Esta medida elimina el vector de ataque, aunque sacrifica la comodidad de la sincronización automática de usuarios.
Adicionalmente, se recomienda:
— auditar todas las integraciones con IdP y clientes SCIM;
— revisar el ciclo de vida de tokens y credenciales usados para acceso SCIM;
— habilitar monitorización de cambios sospechosos en cuentas privilegiadas y roles de administrador, alineándose con las buenas prácticas señaladas por informes como el Verizon Data Breach Investigations Report y las guías de ENISA u OWASP sobre gestión de identidades.
Contexto: interés creciente en vulnerabilidades de Grafana y sistemas de identidad
En paralelo a la divulgación de CVE-2025-41115, la firma GreyNoise ha observado un incremento notable de escaneos dirigidos a instancias de Grafana en busca de vulnerabilidades antiguas de tipo path traversal. Este patrón indica un interés sostenido de los atacantes en la plataforma como vector de acceso a infraestructuras de observabilidad y datos sensibles.
Los informes sectoriales coinciden en que las vulnerabilidades en sistemas de autenticación y gestión de cuentas se sitúan entre los principales vectores de compromiso. Tecnologías como SCIM e integraciones con IdP simplifican la administración de usuarios, pero expanden la superficie de ataque y requieren controles estrictos, desde la configuración segura hasta la supervisión continua.
La aparición de CVE-2025-41115 en Grafana Enterprise subraya la importancia de limitar funciones en Public Preview en entornos críticos, mantener procesos maduros de gestión de parches, aplicar el principio de mínimo privilegio y monitorizar de forma proactiva la actividad de administradores. Organizaciones que dependan de Grafana u otras plataformas de monitorización deberían aprovechar este incidente para reforzar su gobierno de identidades, revisar sus integraciones con IdP y consolidar un programa de ciberseguridad que combine prevención, detección temprana y respuesta ágil ante nuevas vulnerabilidades.
