Grafana漏洞披露:SCIM配置缺陷可能导致权限提升
CVE-2025-41115的发现暴露了Grafana企业版SCIM组件中存在一个严重的安全弱点。在特定的配置条件下,攻击者可以利用此漏洞提升权限或模拟现有用户。该漏洞对依赖SCIM实现自动化身份供应和用户生命周期管理的组织构成了重大威胁。
漏洞详情
通过SCIM配置不当实现权限提升 (CVE-2025-41115)
一个严重的权限提升漏洞,编号为CVE-2025-41115,已在Grafana企业版12.0.0至12.2.1版本中被发现。问题根源在于Grafana将SCIM的externalId直接映射到内部用户的user.uid字段。
当启用SCIM供应时,受损或恶意的SCIM客户端可以使用数字externalId来供应一个用户。如果这个数字值被解释为内部用户ID,新创建的账户可能会被视为现有的Grafana用户——甚至可能包括管理员账户。
这可能导致:
- 未经授权的身份模拟
- 权限提升
- 接管Grafana实例的管理权限
根据Grafana的内部分析,利用此漏洞需要同时满足以下两个条件:
enableSCIM = true- 在
[auth.scim]配置块中设置user_sync_enabled = true
Grafana在2025年11月4日的一次内部审计中发现了此漏洞,这凸显了在SCIM实现中进行安全身份映射的重要性。
影响与利用可能性
如果被利用,CVE-2025-41115可使攻击者获得对Grafana部署的完全管理控制。这可能导致:
- 未经授权访问敏感的仪表板和数据
- 修改系统配置
- 中断监控操作
- 在环境内进行横向移动
鉴于其CVSS评分高达10.0,该漏洞构成了最高级别的威胁,尤其对于暴露在互联网上或配置错误的启用SCIM的Grafana实例。
战术、技术与程序
利用此漏洞与以下ATT&CK战术和技术相符:
- TA0004 – 权限提升:滥用身份供应机制以获得更高权限。
- TA0001 – 初始访问:利用暴露的SCIM端点建立立足点。
- T1190 – 利用面向公众的应用程序:攻击SCIM端点以攻陷系统。
受影响产品
- Grafana企业版 12.0.0 – 12.2.1
缓解措施
Grafana已发布修复版本,完全解决了该漏洞。用户应升级到以下版本之一:
- Grafana企业版 12.0.6
- Grafana企业版 12.1.3
- Grafana企业版 12.2.1
- Grafana企业版 12.3.0
其他建议包括:
- 检查SCIM设置以确保安全的身份映射
- 如非必要,禁用SCIM
- 限制SCIM客户端的访问并确保使用可信的身份验证机制
通过Saner补丁管理即时修复风险
Saner补丁管理是一个持续、自动化、集成的软件,能够即时修复在野被利用的风险。该软件支持Windows、Linux和macOS等主要操作系统,以及550多个第三方应用程序。
它还允许您设置安全测试区,以便在主要生产环境中部署补丁之前进行测试。Saner补丁管理还支持补丁回滚功能,以防补丁失败或系统故障。
在此体验最快、最准确的补丁管理软件。