top of page
wallpaper-cc-azul_png_edited.jpg

Grafana Enterprise – Corrección de Seguridad Crítica (CVE-2025-41115)

  • Foto del escritor: Security Team
    Security Team
  • 4 dic 2025
  • 2 Min. de lectura


El CTI de ICS Labs identificó una vulnerabilidad crítica en Grafana Enterprise (CVE-2025-41115), con una puntuación CVSS de 10.0, que afecta a las versiones desde la 12.0.0 hasta la 12.2.1. La falla está relacionada con la funcionalidad SCIM (System for Cross-domain Identity Management), introducida para la gestión automatizada de usuarios y equipos. En configuraciones específicas, un cliente SCIM malicioso o comprometido puede aprovisionar usuarios con un externalId numérico, lo que permite sobrescribir IDs internos y posibilita la suplantación de identidad o la escalada de privilegios, incluyendo el acceso a la cuenta de administrador. Este escenario representa un riesgo elevado para entornos corporativos que utilizan SCIM para la sincronización de identidad.


Descripción de la amenaza:

La vulnerabilidad ocurre cuando las opciones enableSCIM y user_sync_enabled están habilitadas. Grafana asigna el externalId directamente al user.uid interno, y los valores numéricos pueden interpretarse como IDs internos legítimos. Esto permite que un usuario recién aprovisionado sea tratado como una cuenta existente, como Admin, resultando en el compromiso total del sistema. La explotación no requiere interacción compleja, solo la configuración SCIM activa, lo que convierte el ataque en uno de baja complejidad y alta gravedad.


Puntos clave de atención:


  • Posibilidad de asumir cuentas privilegiadas, incluyendo Admin.

  • Escalada de privilegios sin necesidad de credenciales adicionales.

  • Riesgo elevado en entornos con SCIM habilitado para la automatización del ciclo de vida de usuarios.

  • Impacto directo en la integridad y confidencialidad del entorno de monitoreo.

  • La vulnerabilidad no afecta a Grafana OSS, solo a Grafana Enterprise con SCIM activo. 


Acciones recomendadas:


  • Actualizar inmediatamente a una de las versiones corregidas: Grafana Enterprise 12.3.0, 12.2.1, 12.1.3 o 12.0.6.

  • Revisar los registros y monitorear actividades sospechosas después de la actualización.

  • Aplicar prácticas de endurecimiento y segmentación de red.

  • Implementar monitoreo para detectar cambios en cuentas privilegiadas.


Últimas actualizaciones:


  • 04 de noviembre de 2025: Vulnerabilidad descubierta en auditoría interna.

  • 05 de noviembre de 2025: Parche privado aplicado en Grafana Cloud.

  • 19 de noviembre de 2025: Publicación oficial y liberación de las versiones corregidas.


 
 
 

Comentarios

wallpaper-cc-azul_png_edited.jpg

CONTATO

ICS Labs

Sua melhor estratégia de defesa

© 2025 ICS - Inorpel CyberSecurity

wallpaper-cc-azul_png_edited.jpg

CONTACTO

JOÃO PESSOA

 

Rua Jose Soares de Medeiros, 1620

Bloco E Módulos 2, 3 e 4, Térreo.

Cabedelo - PB - CEP: 58105-015

ICS Labs

Tu mejor estrategia de defensa

© 2025 ICS - Inorpel CyberSecurity

bottom of page