江蘇
關鍵詞
安全漏洞
Grafana 官方近日發布安全更新,修補一個嚴重級別為最高等級的漏洞。該漏洞編號為 CVE-2025-41115,評分為 10.0,影響開啟并使用 SCIM 自動化用戶管理功能的環境。攻擊者在特定條件下可利用該漏洞偽裝任意內部用戶,甚至獲取管理員權限,屬于高危風險。
該問題源于 Grafana 在處理 SCIM externalId 字段時存在缺陷。如果惡意或被入侵的 SCIM 客戶端向服務器提交了一個數字形式的 externalId,Grafana 會將其直接映射為內部用戶的 uid。當該數字與現有內部用戶 ID 重合時,系統可能錯誤地將新建用戶視為現有賬戶,從而產生身份覆蓋,導致賬號冒用或權限提升。
成功利用該漏洞需要同時滿足兩個條件:首先需開啟 enableSCIM 功能開關;其次需在配置文件的 auth.scim 區塊中啟用 user_sync_enabled 選項。只有在同時開啟這兩個配置的環境中,該漏洞才會實際生效。
漏洞影響范圍為 Grafana Enterprise 12.0.0 至 12.2.1。官方已在多個版本中發布修復,包括 12.0.6+security-01、12.1.3+security-01、12.2.1+security-01 以及最新的 12.3.0 版本。此次漏洞由官方團隊在十一月初的內部審計中發現。
鑒于漏洞危害級別極高,建議所有使用企業版并啟用 SCIM 功能的組織立即升級到已修復的版本。同時應檢查配置文件,確認是否啟用了相關功能,以免不必要地暴露在風險之下。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
