Grafana Labs advierte sobre una vulnerabilidad de gravedad máxima (CVE-2025-41115) en su producto Enterprise que puede explotarse para tratar a nuevos usuarios como administradores o para escalar privilegios.
El problema solo se puede explotar cuando el aprovisionamiento SCIM (Sistema para la gestión de identidades entre dominios) está habilitado y configurado.
Específicamente, tanto el indicador de función 'enableSCIM' como las opciones 'user_sync_enabled' deben establecerse en verdadero para permitir que un cliente SCIM malicioso o comprometido proporcione a un usuario un ID externo numérico que se asigne a una cuenta interna, incluidos los administradores.
externalId es un atributo de contabilidad SCIM utilizado por el proveedor de identidad para rastrear a los usuarios.
Debido a que Grafana asignó este valor directamente a su sistema interno usuario.uidun ID externo numérico como \ «1\» podría interpretarse como una cuenta interna existente, lo que permite la suplantación o la escalada de privilegios.
Según Grafana documentaciónel aprovisionamiento SCIM se encuentra actualmente en «Vista previa pública» y hay soporte limitado disponible. Debido a esto, es posible que la adopción de esta función no esté generalizada.
Grafana es una plataforma de visualización y monitoreo de datos utilizada por un amplio espectro de organizaciones, desde nuevas empresas hasta compañías Fortune 500, para convertir métricas, registros y otros datos operativos en paneles, alertas y análisis.
«En casos específicos, esto podría permitir que el usuario recién aprovisionado sea tratado como una cuenta interna existente, como el administrador, lo que podría llevar a una posible suplantación o escalada de privilegios». Laboratorios Grafana
CVE-2025-41115 afecta las versiones de Grafana Enterprise entre 12.0.0 y 12.2.1 (cuando SCIM está habilitado).
Los usuarios de Grafana OSS no se ven afectados, mientras que los servicios de Grafana Cloud, incluidos Amazon Managed Grafana y Azure Managed Grafana, ya recibieron los parches.
Los administradores de instalaciones autogestionadas pueden abordar el riesgo aplicando una de las siguientes actualizaciones:
- Grafana Enterprise versión 12.3.0
- Grafana Enterprise versión 12.2.1
- Grafana Enterprise versión 12.1.3
- Grafana Enterprise versión 12.0.6
«Si su instancia es vulnerable, le recomendamos encarecidamente que actualice a una de las versiones parcheadas lo antes posible», advierte Grafana Labs.
La falla se descubrió durante una auditoría interna el 4 de noviembre y se introdujo una actualización de seguridad aproximadamente 24 horas después.
Durante ese tiempo, Grafana Labs investigó y determinó que la falla no había sido explotada en Grafana Cloud.
La publicación de la actualización de seguridad y el boletín que la acompaña tuvo lugar el 19 de noviembre.
Se recomienda a los usuarios de Grafana que apliquen los parches disponibles lo antes posible o cambien la configuración (deshabilite SCIM) para cerrar posibles oportunidades de explotación.
Mes pasado, GreyNoise informó actividad de escaneo inusualmente elevada dirigida a una antigua falla transversal de ruta en Grafana, que, como los investigadores han señalado anteriormente, podría usarse para mapear instancias expuestas en preparación para la divulgación de una nueva falla.
Ya sea que esté limpiando claves antiguas o estableciendo barreras para el código generado por IA, esta guía ayuda a su equipo a construir de forma segura desde el principio.
Obtenga la hoja de trucos y elimine las conjeturas en la gestión de secretos.
