Grafana-problemet med admin-spoofing utgör ett allvarligt hot för organisationer som använder Grafana Enterprise. En nyligen avslöjad brist låter en angripare skapa en ny användare eller behandla en ny användare som en befintlig intern administratör. Leverantören bekräftar att problemet påverkar SCIM-provisionerade konfigurationer och uppmanar administratörer att uppdatera omedelbart.

Sårbarhetsdetaljer

Grafana Labs meddelar att en sårbarhet med högsta allvarlighetsgrad (CVE-2025-41115) påverkar Enterprise-produkten när SCIM-provisionering (System for Cross-domain Identity Management) är aktiverad och konfigurerad.
Bristerna uppstår när både funktionsflaggan enableSCIM och alternativet user_sync_enabled är aktiva. Under dessa omständigheter kan en skadlig SCIM-klient tilldela ett numeriskt externalId som matchar en befintlig intern användaridentifierare. Grafanas interna mappning behandlar externalId direkt som user.uid, vilket möjliggör impersonering eller privilegieeskalering.
Sårbarheten påverkar Grafana Enterprise versionerna 12.0.0 till 12.2.1 (när SCIM är aktiverat). Användare av Grafana Open Source påverkas inte. Molntjänster som Amazon Managed Grafana och Azure Managed Grafana har redan fått korrigeringar.

Konsekvenser för organisationer

Grafana-felet med admin-spoofing visar hur integrationer för identitetshantering kan skapa oväntade risker. Även om kärnapplikationen förblir säker kan funktioner som SCIM öppna vägar till administratörsbehörighet om de inte hanteras korrekt. Organisationer som förlitar sig på Grafana för dashboards, loggar och larm måste därför behandla användarprovisionering som lika kritiskt som själva applikationen.
En angripare som utnyttjar sårbarheten kan kringgå normala flöden för admin-skapande, få utökade rättigheter och potentiellt läsa eller ändra dashboard-konfigurationer, mätvärden och larm utan traditionell extern åtkomst.

Åtgärder och bästa praxis

För att hantera risken bör Grafana-administratörer:

  • uppgradera till version 12.3.0 eller installera hotfixar i 12.2.1, 12.1.3 eller 12.0.6
  • inaktivera SCIM-provisionering tills säkra versioner finns på plats om uppgradering inte kan ske direkt
  • granska användar- och IdP-konfigurationer för ovanliga externalId-mappningar
  • säkerställa strikta kontroller och loggning i identitetsleverantören vid skapande och synkronisering av användare
  • övervaka dashboard- och åtkomstloggar för tecken på att nya användare får adminrättigheter oväntat
  • begränsa antalet administratörer och använda principen om minsta behörighet som standard

Slutsats

Sårbarheten i Grafana för admin-spoofing visar hur konfigurationsfunktioner kan exponera kritiska system när de kombineras med identitetshantering. Även välrenommerade plattformar som Grafana kan introducera risker om funktioner som SCIM aktiveras utan tydlig kontroll. Snabba uppdateringar och noggranna identitets- och åtkomstprocesser är avgörande för att skydda systemen mot privilegieeskalering.


0 svar till ”Sårbarhet i Grafana möjliggör admin-spoofing och utlöser varning på högsta nivån”