Grafana vá lỗi SCIM nghiêm trọng (CVSS 10.0) cho phép mạo danh và leo thang đặc quyền

Grafana đã phát hành các bản cập nhật bảo mật để khắc phục một lỗ hổng nghiêm trọng nhất, có thể cho phép leo thang đặc quyền hoặc mạo danh người dùng trong một số cấu hình nhất định. Lỗ hổng, được theo dõi là CVE-2025-41115, có điểm CVSS là 10.0. Nó nằm trong thành phần System for Cross-domain Identity Management (SCIM), vốn cho phép tự động cung cấp và quản lý người dùng.

Hình ảnh minh họa về Grafana — Lỗ hổng nghiêm trọng trong Grafana cho phép leo thang đặc quyền và mạo danh người dùng.

Grafana đã phát hành các bản cập nhật bảo mật để khắc phục một lỗ hổng nghiêm trọng nhất, có thể cho phép leo thang đặc quyền hoặc mạo danh người dùng trong một số cấu hình nhất định.

Lỗ hổng, được theo dõi là CVE-2025-41115, có điểm CVSS là 10.0. Nó nằm trong thành phần System for Cross-domain Identity Management (SCIM), vốn cho phép tự động cung cấp và quản lý người dùng. Tính năng này lần đầu tiên được giới thiệu vào tháng 4 năm 2025 và hiện đang trong giai đoạn thử nghiệm công khai.

"Trong các phiên bản Grafana 12.x khi tính năng cấp phép SCIM được bật và cấu hình, một lỗ hổng trong việc xử lý danh tính người dùng cho phép một máy khách SCIM độc hại hoặc bị xâm nhập cung cấp một người dùng với externalId dạng số, điều này đến lượt nó có thể cho phép ghi đè các ID người dùng nội bộ và dẫn đến mạo danh hoặc leo thang đặc quyền," Vardan Torosyan của Grafana cho biết.

Tuy nhiên, việc khai thác thành công phụ thuộc vào việc đáp ứng cả hai điều kiện sau:

Cờ tính năng enableSCIM được đặt thành true
Tùy chọn cấu hình user_sync_enabled trong khối [auth.scim] được đặt thành true

Các phiên bản bị ảnh hưởng và đã vá lỗi

Lỗ hổng này ảnh hưởng đến các phiên bản Grafana Enterprise từ 12.0.0 đến 12.2.1. Nó đã được khắc phục trong các phiên bản phần mềm sau:

Grafana Enterprise 12.0.6+security-01
Grafana Enterprise 12.1.3+security-01
Grafana Enterprise 12.2.1+security-01
Grafana Enterprise 12.3.0

"Grafana ánh xạ trực tiếp SCIM externalId với user.uid nội bộ; do đó, các giá trị số (ví dụ: '1') có thể được hiểu là ID người dùng số nội bộ," Torosyan nói. "Trong các trường hợp cụ thể, điều này có thể cho phép người dùng mới được cấp phép được coi là một tài khoản nội bộ hiện có, chẳng hạn như Admin, dẫn đến khả năng mạo danh hoặc leo thang đặc quyền."

Nền tảng phân tích và quan sát cho biết lỗ hổng này được phát hiện nội bộ vào ngày 4 tháng 11 năm 2025, trong quá trình kiểm toán và thử nghiệm. Với mức độ nghiêm trọng của vấn đề, người dùng được khuyến nghị áp dụng các bản vá càng sớm càng tốt để giảm thiểu các rủi ro tiềm ẩn.