Guilgo Blog

Notas de mi quehacer diario con las técnologias.

Grafana Labs ha publicado una actualización crítica para Grafana Enterprise que corrige la vulnerabilidad CVE-2025-41115, evaluada con CVSS 10.0. El fallo afecta únicamente al componente SCIM (System for Cross-domain Identity Management) y bajo ciertas configuraciones permite suplantación de usuarios y elevación de privilegios.

Esta vulnerabilidad no afecta a Grafana OSS, y Grafana Cloud fue parcheado antes del anuncio público.

Resumen de la vulnerabilidad

  • Producto: Grafana Enterprise
  • Componente: SCIM
  • Gravedad: CVSS 10.0
  • Impacto:
    • Suplantación de cuentas internas
    • Elevación de privilegios
    • Manipulación del proceso de aprovisionamiento de usuarios

El problema reside en el mapeo directo entre el campo SCIM externalId y el identificador interno user.uid. Un cliente SCIM malicioso podría generar usuarios con identificadores colisionados respecto a cuentas existentes.

Versiones afectadas y versiones corregidas

Afectadas:

  • Grafana Enterprise 12.0.0 → 12.2.1 (con SCIM activo)

Corregidas:

  • 12.0.6+security-01
  • 12.1.3+security-01
  • 12.2.1+security-01
  • 12.3.0 (incluye el fix)

No afectados:

  • Grafana OSS
  • Grafana Cloud
  • Amazon Managed Grafana
  • Azure Managed Grafana

Condiciones para ser vulnerable

La vulnerabilidad sólo se manifiesta si SCIM está activo:

[feature_toggles]
enableSCIM = true

[auth.scim]
user_sync_enabled = true

Si uno de estos valores no está en true, el entorno no es vulnerable.

Cómo verificar si tu instancia está afectada

  1. Confirma si usas Grafana Enterprise 12.0.0–12.2.1.
  2. Revisa grafana.ini o el ConfigMap.
  3. Identifica qué cliente SCIM realiza el aprovisionamiento y si puede ser manipulado.

Mitigación recomendada

Actualización inmediata

Actualizar a una versión parcheada es la acción prioritaria:

  • 12.0.x → 12.0.6+security-01
  • 12.1.x → 12.1.3+security-01
  • 12.2.x → 12.2.1+security-01
  • O migrar a 12.3.0

En Kubernetes, actualiza la imagen y despliega.

Si no puedes actualizar todavía

  • Deshabilita SCIM temporalmente:

    [feature_toggles]
enableSCIM = false

    o

    [auth.scim]
user_sync_enabled = false

  • Restringe el endpoint SCIM mediante firewall o políticas de red.

  • Revisa los clientes SCIM para impedir envío de externalId arbitrarios.

Auditoría recomendada

  • Revisar creación de usuarios recientes vía SCIM.
  • Validar roles y permisos de cuentas privilegiadas.
  • Examinar logs de aprovisionamiento para detectar actividad anómala.

Línea temporal del incidente

  • 4 nov 2025: descubrimiento interno
  • 4 nov 2025: parche en Grafana Cloud
  • 5 nov 2025: distribución privada de builds corregidos
  • 19 nov 2025: publicación oficial

Enlaces oficiales

avatar

Sysadmin, Autodidacta hecho así mismo por culpa de la curiosidad

FEATURED TAGS
amazon android apt-get bugs cpanel debian gaming gentoo gnu gnu/linux htc ia informatica informática juegos olimpicos kde kernel letsencrypt linux microsoft moviles mysql networking programación rasperrypi satélite seguridad seti ssl sysadmin tasker tech tecnologia tecnología ubuntu ubunutu varios vpn wazuh windows wireguard