В коммерческой версии платформы визуализации и мониторинга Grafana Enterprise выявлена критическая уязвимость CVE-2025-41115 с максимальным баллом 10.0 по шкале CVSS. Ошибка позволяет злоумышленнику создать учетную запись, которая будет интерпретирована системой как внутренний пользователь, включая администратора, и тем самым получить полный контроль над экземпляром Grafana.
Описание уязвимости CVE-2025-41115 в Grafana Enterprise
Уязвимость проявляется только при активированном механизме SCIM provisioning (System for Cross-domain Identity Management). Для атаки необходимо, чтобы параметры enableSCIM и user_sync_enabled были установлены в значение true. Эти настройки встречаются в средах, где управление пользователями централизовано через провайдера идентификации (IdP) и используется автоматическая синхронизация аккаунтов.
Ключевой элемент проблемы — обработка атрибута externalId, применяемого в протоколе SCIM для однозначной идентификации пользователей на стороне IdP. В затронутых версиях Grafana Enterprise это значение напрямую сопоставлялось с внутренним идентификатором пользователя user.uid. В результате, если SCIM‑клиент создавал пользователя с числовым externalId (например, «1»), платформа могла ошибочно связать его с уже существующей внутренней учетной записью, включая учетку администратора.
Такое поведение открывало возможность подделки учетной записи (impersonation) и повышения привилегий: атакующий получал права целевого пользователя без знания его пароля и без необходимости взлома механизма аутентификации.
Как эксплуатируется уязвимость в SCIM provisioning
Роль вредоносного или скомпрометированного SCIM-клиента
По данным разработчиков, эксплуатация возможна через вредоносный или скомпрометированный SCIM‑клиент, имеющий возможность отправлять запросы на создание или обновление пользователей в Grafana. Это может быть:
— взломанный IdP или связанный с ним сервис;
— неправильно защищенный интеграционный сервис, выполняющий функции SCIM‑клиента;
— злоумышленник, получивший доступ к токену или учетным данным SCIM‑клиента.
Получив такие права, атакующий создает пользователя с заранее выбранным числовым externalId, совпадающим с внутренним user.uid существующего аккаунта. Из-за некорректного сопоставления идентификаторов Grafana воспринимает новую учетную запись как внутреннюю, что позволяет получить все ее привилегии.
Кого затрагивает уязвимость CVE-2025-41115
Согласно информации разработчиков, под угрозой находятся только инсталляции Grafana Enterprise версий 12.0.0–12.2.1, причем исключительно при включенном SCIM provisioning. Если SCIM отключен, уязвимость не проявляется.
Важно, что:
— Grafana OSS (открытая версия) не подвержена уязвимости;
— сервисы Grafana Cloud, а также Amazon Managed Grafana и Azure Managed Grafana уже получили исправления;
— SCIM в Grafana официально находится в статусе Public Preview и поддерживается ограниченно, поэтому реально задействован далеко не во всех средах.
Уязвимость была обнаружена в ходе внутреннего аудита безопасности 4 ноября 2025 года. Патч был подготовлен и опубликован в течение суток, а расследование не выявило попыток эксплуатации уязвимости в инфраструктуре Grafana Cloud.
Рекомендации администраторам: обновления и меры снижения рисков
Администраторам self-managed инсталляций Grafana Enterprise рекомендуется как можно быстрее обновиться до одной из исправленных версий: 12.3.0, 12.2.1, 12.1.3 или 12.0.6. Обновление следует рассматривать как приоритетную задачу, поскольку уязвимость получила максимальный балл по CVSS и напрямую связана с компрометацией учетных записей.
Если оперативное обновление по каким-либо причинам невозможно, временной, но эффективной мерой может стать полное отключение SCIM provisioning (сброс параметров enableSCIM и user_sync_enabled в false). Это разрывает потенциальный канал атаки, хотя и лишает систему преимуществ автоматической синхронизации пользователей.
Также целесообразно:
— провести аудит всех интеграций с IdP и SCIM‑клиентами;
— пересмотреть управление токенами и учетными данными, используемыми для SCIM‑доступа;
— включить мониторинг подозрительных изменений учетных записей и ролей администраторов.
Контекст: растущий интерес к уязвимостям Grafana
Незадолго до раскрытия CVE-2025-41115 специалисты компании GreyNoise зафиксировали существенный всплеск сканирований, нацеленных на поиск устаревшей уязвимости обхода пути в Grafana. Это указывает на устойчивый интерес злоумышленников к платформе и попытки заранее идентифицировать доступные экземпляры, потенциально уязвимые для новых атак.
По данным отраслевых отчетов, атаки на системы аутентификации и управления учетными записями стабильно входят в число ключевых векторов компрометации. Интеграции с внешними IdP и протоколами наподобие SCIM, с одной стороны, упрощают управление пользователями, но с другой — расширяют поверхность атаки и требуют особо тщательной настройки и контроля.
Данный инцидент в очередной раз подчеркивает необходимость регулярных внутренних аудитов, ограниченного использования экспериментальных или preview‑функций в продуктивных средах, а также своевременного внедрения патчей. Организациям, использующим Grafana Enterprise и другие крупные платформы мониторинга, имеет смысл пересмотреть свои процессы управления обновлениями, минимизации прав и мониторинга активности администраторов, чтобы снизить риски подобных уязвимостей в будущем.
