top of page
wallpaper-cc-azul_png_edited.jpg

Grafana Enterprise – Correção de Segurança Crítica (CVE-2025-41115)

  • Foto do escritor: Security Team
    Security Team
  • 4 de dez. de 2025
  • 2 min de leitura


O CTI da ICS Labs identificou uma vulnerabilidade crítica no Grafana Enterprise (CVE-2025-41115), com pontuação CVSS 10.0, afetando versões 12.0.0 até 12.2.1. A falha está relacionada ao recurso SCIM (System for Cross-domain Identity Management), introduzido para gerenciamento automatizado de usuários e equipes. Em configurações específicas, um cliente SCIM malicioso ou comprometido pode provisionar usuários com um externalId numérico, permitindo sobrescrever IDs internos e possibilitando impersonação ou escalonamento de privilégios, incluindo acesso à conta de administrador. Esse cenário representa risco elevado para ambientes corporativos que utilizam SCIM para sincronização de identidade.


Visão geral da ameaça:


A vulnerabilidade ocorre quando as opções enableSCIM e user_sync_enabled estão habilitadas. O Grafana mapeia o externalId diretamente para o user.uid interno, e valores numéricos podem ser interpretados como IDs internos legítimos. Isso permite que um usuário recém-provisionado seja tratado como uma conta existente, como Admin, resultando em comprometimento total do sistema. A exploração não requer interação complexa, apenas a configuração SCIM ativa, tornando o ataque de baixa complexidade e alta gravidade.


Pontos de Atenção Identificados:


  • Possibilidade de assumir contas privilegiadas, incluindo Admin.

  • Escalonamento de privilégios sem necessidade de credenciais adicionais.

  • Risco elevado em ambientes com SCIM habilitado para automação de ciclo de vida de usuários.

  • Impacto direto na integridade e confidencialidade do ambiente de monitoramento.

  • Vulnerabilidade não afeta Grafana OSS, apenas Grafana Enterprise com SCIM ativo.

 

Ações de recomendação:


  • Atualizar imediatamente para uma das versões corrigidas: Grafana Enterprise 12.3.0, 12.2.1, 12.1.3 ou 12.0.6.

  • Revisar logs e monitorar atividades suspeitas após atualização.

  • Aplicar  práticas de hardening e segmentação de rede.

  • Implementar monitoramento para detecção de alterações em contas privilegiadas.


Últimas atualizações:


  • 04 de novembro, 2025: Vulnerabilidade descoberta em auditoria interna.

  • 05 de novembro, 2025: Patch privado aplicado em Grafana Cloud.

  • 19 de novembro, 2025: Publicação oficial e liberação das versões corrigidas.


 
 
 

Comentários

wallpaper-cc-azul_png_edited.jpg

CONTATO

ICS Labs

Sua melhor estratégia de defesa

© 2025 ICS - Inorpel CyberSecurity

wallpaper-cc-azul_png_edited.jpg

CONTATO

JOÃO PESSOA

 

Rua Jose Soares de Medeiros, 1620

Bloco E Módulos 2, 3 e 4, Térreo.

Cabedelo - PB - CEP: 58105-015

ICS Labs

Sua melhor estratégia de defesa

© 2025 ICS - Inorpel CyberSecurity

bottom of page