Grafana-sårbarhet muliggjør admin-forfalskning og utløser varsel på høyeste nivå

Grafana-problemet med admin-forfalskning utgjør en alvorlig trussel for organisasjoner som bruker Grafana Enterprise. En nylig avslørt sårbarhet gjør det mulig for en ondsinnet aktør å opprette en ny bruker eller behandle en ny bruker som en eksisterende intern administrator. Leverandøren bekrefter at problemet påvirker SCIM-provisionerte konfigurasjoner og ber administratorer oppdatere umiddelbart.

Sårbarhetsdetaljer

Grafana Labs opplyser at en sårbarhet med høyeste alvorlighetsgrad (CVE-2025-41115) rammer Enterprise-produktet når SCIM-provisionering (System for Cross-domain Identity Management) er aktivert og konfigurert.
Svakheten oppstår når både enableSCIM-flagg og user_sync_enabled-alternativet er slått på. Under disse forholdene kan en ondsinnet SCIM-klient tildele en numerisk externalId som samsvarer med en eksisterende intern bruker-ID. Grafanas interne mapping behandler externalId direkte som user.uid, noe som muliggjør identitetsforfalskning eller eskalering av privilegier.
Sårbarheten påvirker Grafana Enterprise versjon 12.0.0 til 12.2.1 (når SCIM er aktivert). Brukere av Grafana Open Source er ikke berørt. Skytjenester som Amazon Managed Grafana og Azure Managed Grafana har allerede mottatt sikkerhetsoppdateringer.

Konsekvenser for organisasjoner

Sikkerhetsfeilen med admin-forfalskning i Grafana viser hvordan identitetsintegrasjoner kan introdusere uventede risikoer. Selv om selve applikasjonen fungerer sikkert, kan funksjoner som SCIM åpne veier til administratorrettigheter dersom de ikke håndteres riktig. Organisasjoner som bruker Grafana for dashboards, logger og varsler må derfor behandle brukerprovisionering som like kritisk som applikasjonen.
En angriper som utnytter sårbarheten kan omgå vanlige prosesser for å opprette administratorer, få utvidede rettigheter og potensielt lese eller endre dashboardoppsett, måledata og varsler uten tradisjonell ekstern tilgang.

Tiltak og beste praksis

For å redusere risikoen bør Grafana-administratorer:

• oppgradere til versjon 12.3.0 eller bruke hotfixer i 12.2.1, 12.1.3 eller 12.0.6
• deaktivere SCIM-provisionering til sikre versjoner er installert hvis oppgradering ikke er mulig umiddelbart
• gjennomgå bruker- og IdP-konfigurasjoner for uvanlige externalId-tilknytninger
• sikre strenge kontroller og logging i identitetsleverandøren under opprettelse og synkronisering av brukere
• overvåke dashboard- og tilgangslogger for tegn på at nye brukere får administratorrettigheter uventet
• begrense antall administratorer og følge prinsippet om minste privilegium

Konklusjon

Sårbarheten for admin-forfalskning i Grafana viser hvordan konfigurasjonsfunksjoner kan eksponere kritiske systemer i kombinasjon med identitetsintegrasjoner. Selv velkjente plattformer som Grafana kan introdusere risiko hvis funksjoner som SCIM aktiveres uten klare kontroller. Rask oppdatering og grundig styring av identitet og tilgang er avgjørende for å beskytte systemer mot eskalering av privilegier.