Grafana-sårbarhed muliggør admin-spoofing og udløser advarsel på højeste niveau

Grafana-problemet med admin-spoofing udgør en alvorlig trussel for organisationer, der bruger Grafana Enterprise. En nyligt afsløret sårbarhed gør det muligt for en ondsindet aktør at oprette en ny bruger eller lade en ny bruger fremstå som en eksisterende intern administrator. Leverandøren bekræfter, at problemet påvirker SCIM-provisionerede konfigurationer og opfordrer administratorer til at opdatere med det samme.

Sårbarhedsdetaljer

Grafana Labs oplyser, at en sårbarhed med højeste alvorlighedsgrad (CVE-2025-41115) påvirker Enterprise-produktet, når SCIM-provisionering (System for Cross-domain Identity Management) er aktiveret og konfigureret.
Fejlen opstår, når både enableSCIM-flaget og indstillingen user_sync_enabled er slået til. Under disse forhold kan en ondsindet SCIM-klient tildele et numerisk externalId, som matcher en eksisterende intern brugeridentifikator. Grafanas interne mapping behandler externalId direkte som user.uid, hvilket gør identitetsforfalskning eller privilege escalation muligt.
Sårbarheden påvirker Grafana Enterprise version 12.0.0 til 12.2.1 (når SCIM er aktiveret). Brugere af Grafana Open Source er ikke berørt. Skytjenester som Amazon Managed Grafana og Azure Managed Grafana har allerede modtaget patches.

Konsekvenser for organisationer

Sårbarheden med admin-spoofing i Grafana viser, hvordan integrationer til identitetshåndtering kan skabe uventede risici. Selv når selve applikationen fungerer sikkert, kan funktioner som SCIM åbne veje til administratorrettigheder, hvis de ikke håndteres korrekt. Organisationer, der bruger Grafana til dashboards, logning og alarmering, bør behandle brugerprovisionering som lige så kritisk som applikationen.
En angriber, der udnytter denne sårbarhed, kan omgå normale processer for oprettelse af administratorer, få forhøjede rettigheder og potentielt læse eller ændre dashboard-konfigurationer, målinger og alarmer uden traditionel ekstern adgang.

Afhjælpning og bedste praksis

For at reducere risikoen bør Grafana-administratorer:

• opdatere til version 12.3.0 eller installere hotfixes til 12.2.1, 12.1.3 eller 12.0.6
• deaktivere SCIM-provisionering, indtil sikre versioner er installeret, hvis opdatering ikke er mulig med det samme
• gennemgå bruger- og IdP-konfigurationer for usædvanlige externalId-tilknytninger
• sikre stramme kontroller og logning i identitetsleverandøren ved oprettelse og synkronisering af brugere
• overvåge dashboard- og adgangslogs for tegn på, at nye brugere får administratorrettigheder uventet
• begrænse antallet af administratorer og følge princippet om mindst mulige privilegier

Konklusion

Sårbarheden for admin-spoofing i Grafana viser, hvordan konfigurationsfunktioner kan udsætte kritiske systemer, når de kombineres med integrationsfunktioner i identitetshåndtering. Selv velrenommerede platforme som Grafana kan skabe risiko, hvis funktioner som SCIM aktiveres uden tilstrækkelig kontrol. Hurtige opdateringer og grundig styring af identitet og adgang er afgørende for at beskytte systemer mod eskalering af rettigheder.