Grafana：最高級別漏洞可實現管理員身份冒充

Grafana Labs 發布安全預警，其企業版產品中存在一處最高嚴重級別漏洞（CVE-2025-41115）。攻擊者可利用該漏洞將新創建用戶偽裝成管理員，或實現權限提升操作。

需注意的是，該漏洞僅在跨域身份管理系統配置并啟用的場景下可被利用。具體而言，只有當“enableSCIM”功能開關與“user_sync_enabled”選項均設置為“true”時，惡意或已被劫持的 SCIM 客戶端才能通過配置“數字格式 externalId”的方式，將新用戶關聯到包括管理員在內的內部賬號。其中，externalId 是身份提供商用于追蹤用戶的 SCIM 記賬屬性。

由于 Grafana 會將該屬性值直接映射到內部用戶的“user.uid”字段，像“1”這樣的數字格式 externalId 可能被系統識別為已存在的內部賬號，進而導致賬號冒充或權限提升風險。

根據 Grafana 官方文檔，SCIM 配置功能目前處于“公開預覽”階段，支持力度有限，因此該功能的實際應用范圍可能并不廣泛。

Grafana 作為一款數據可視化與監控平臺，用戶群體覆蓋各類組織——從小型初創企業到知名大型企業均在使用。其核心功能是將指標數據、日志及其他運維數據轉化為可視化儀表盤、告警通知與分析報告。

Grafana Labs 表示：“在特定場景下，該漏洞可能導致新配置的用戶被識別為已存在的內部賬號（如管理員賬號），進而引發賬號冒充或權限提升風險。”

漏洞影響范圍與修復方案

CVE-2025-41115 漏洞影響 Grafana 企業版 12.0.0 至 12.2.1 版本（需滿足 SCIM 已啟用的條件）。其中，Grafana 開源版（OSS）用戶不受影響；Grafana 云服務（包括亞馬遜托管 Grafana、Azure 托管 Grafana）已完成補丁部署。

對于自托管部署的管理員，可通過安裝以下任一更新版本修復漏洞：

·Grafana 企業版 12.3.0

·Grafana 企業版 12.2.1

·Grafana 企業版 12.1.3

·Grafana 企業版 12.0.6

漏洞發現與處理時間線

該漏洞于 11 月 4 日在內部審計過程中被發現，約 24 小時后 Grafana 團隊便推出了安全更新。在此期間，Grafana Labs 經調查確認，該漏洞未在 Grafana 云服務中被實際利用。11 月 19 日，官方正式發布安全更新及配套公告。官方建議 Grafana 用戶盡快安裝可用補丁，或通過修改配置（禁用 SCIM 功能）阻斷潛在攻擊路徑。

上月，實時情報公司 GreyNoise 曾報告針對 Grafana 舊版路徑遍歷漏洞的掃描活動異常增多。研究人員此前指出，這類掃描活動可能是為探測暴露的 Grafana 實例，為后續新漏洞披露后的攻擊做準備。目前，Grafana Labs 已向客戶推送補丁版本，并完成相關防護配置部署，且Grafana 開源版用戶不受此漏洞影響。

參考及來源：https://www.bleepingcomputer.com/news/security/grafana-warns-of-max-severity-admin-spoofing-vulnerability/