SCIM, standardul folosit pentru sincronizarea conturilor și identităților între servicii, a revenit în atenție după ce Grafana Labs a raportat o vulnerabilitate de severitate maximă în versiunea sa Enterprise instalată on‑premise. Problema vizează situația în care un client SCIM malițios sau compromis poate crea un utilizator nou care, din cauza unei erori de mapare, este interpretat ca un cont intern deja existent, inclusiv cu privilegii de administrator, în instanțele Grafana Enterprise.
Defectul apare numai dacă provisioningul SCIM este activat și configurat corect: atât flagul enableSCIM, cât și opțiunea user_sync_enabled trebuie setate pe true pentru ca exploatarea să fie posibilă. Practic, providerul de identitate folosește atributul externalId pentru a urmări utilizatorii, iar Grafana a mapat valoarea externalId direct la user.uid intern. Dacă externalId este un număr, de exemplu 1, acel număr poate fi interpretat ca un cont intern existent, permițând astfel impersonarea sau escaladarea privilegiilor. Pare o eroare banală de legare a câmpurilor, dar consecințele pot fi grave în medii cu utilizatori privilegiați.
Grafana a precizat că SCIM se află în Public Preview și are suport limitat, deci nu toate organizațiile utilizează această funcționalitate. Vulnerabilitatea, catalogată CVE-2025-41115, afectează versiunile Grafana Enterprise între 12.0.0 și 12.2.1 atunci când SCIM este activat. Utilizatorii Grafana OSS nu sunt afectați, iar serviciile Grafana Cloud, inclusiv Amazon Managed Grafana și Azure Managed Grafana, au primit deja remedierile. Administratorii care au instalări self‑managed pot elimina riscul actualizând la versiunile Grafana Enterprise 12.3.0, 12.2.1, 12.1.3 sau 12.0.6, sau dezactivând SCIM până la aplicarea patch‑ului.
Vulnerabilitatea a fost descoperită în timpul unui audit intern pe 4 noiembrie, iar un update de securitate a fost introdus la aproximativ 24 de ore de la descoperire. Grafana Labs a investigat și a raportat că nu a detectat exploatarea în Grafana Cloud. Bulletinul și anunțul oficial au fost publicate pe 19 noiembrie. Pe lângă acest incident, luna trecută cercetătorii GreyNoise au semnalat o creștere a activității de scanare care viza o problemă veche de path traversal în Grafana, ceea ce sugerează că actorii care scanează internetul încearcă să cartografieze instanțele expuse înainte de dezvăluirea unor noi vulnerabilități.
Recomandarea fermă din partea Grafana Labs a fost remedierea rapidă, adică actualizarea la una dintre versiunile corectate; pentru cei precauți, dezactivarea temporară a SCIM reduce imediat suprafața de atac. Dintr-o perspectivă practică, bug‑ul subliniază importanța verificării modului în care identificatorii externi sunt tratați intern și necesitatea unor teste specifice pentru scenarii de provisioning automat.
CVE-2025-41115 afectează Grafana Enterprise 12.0.0–12.2.1 când SCIM este activat. Cazul evidențiază riscul mapărilor directe între externalId și user.uid și importanța unui audit intern rapid, descoperit pe 4 noiembrie și remediat în aproximativ 24 de ore. Echipele care administrează autentificări și provisioning ar trebui să revizuiască regulile de mapare și să includă teste care simulează conturi numerice sau conflicte de identificatori.
Folosești Grafana Enterprise sau ai configurat SCIM în organizația ta?
Fii primul care comentează