Grafana：最高級(jí)別漏洞可實(shí)現(xiàn)管理員身份冒充

Grafana Labs 發(fā)布安全預(yù)警，其企業(yè)版產(chǎn)品中存在一處最高嚴(yán)重級(jí)別漏洞（CVE-2025-41115）。攻擊者可利用該漏洞將新創(chuàng)建用戶偽裝成管理員，或?qū)崿F(xiàn)權(quán)限提升操作。

需注意的是，該漏洞僅在跨域身份管理系統(tǒng)配置并啟用的場景下可被利用。具體而言，只有當(dāng)“enableSCIM”功能開關(guān)與“user_sync_enabled”選項(xiàng)均設(shè)置為“true”時(shí)，惡意或已被劫持的 SCIM 客戶端才能通過配置“數(shù)字格式 externalId”的方式，將新用戶關(guān)聯(lián)到包括管理員在內(nèi)的內(nèi)部賬號(hào)。其中，externalId 是身份提供商用于追蹤用戶的 SCIM 記賬屬性。

由于 Grafana 會(huì)將該屬性值直接映射到內(nèi)部用戶的“user.uid”字段，像“1”這樣的數(shù)字格式 externalId 可能被系統(tǒng)識(shí)別為已存在的內(nèi)部賬號(hào)，進(jìn)而導(dǎo)致賬號(hào)冒充或權(quán)限提升風(fēng)險(xiǎn)。

根據(jù) Grafana 官方文檔，SCIM 配置功能目前處于“公開預(yù)覽”階段，支持力度有限，因此該功能的實(shí)際應(yīng)用范圍可能并不廣泛。

Grafana 作為一款數(shù)據(jù)可視化與監(jiān)控平臺(tái)，用戶群體覆蓋各類組織——從小型初創(chuàng)企業(yè)到知名大型企業(yè)均在使用。其核心功能是將指標(biāo)數(shù)據(jù)、日志及其他運(yùn)維數(shù)據(jù)轉(zhuǎn)化為可視化儀表盤、告警通知與分析報(bào)告。

Grafana Labs 表示：“在特定場景下，該漏洞可能導(dǎo)致新配置的用戶被識(shí)別為已存在的內(nèi)部賬號(hào)（如管理員賬號(hào)），進(jìn)而引發(fā)賬號(hào)冒充或權(quán)限提升風(fēng)險(xiǎn)。”

漏洞影響范圍與修復(fù)方案

CVE-2025-41115 漏洞影響 Grafana 企業(yè)版 12.0.0 至 12.2.1 版本（需滿足 SCIM 已啟用的條件）。其中，Grafana 開源版（OSS）用戶不受影響；Grafana 云服務(wù)（包括亞馬遜托管 Grafana、Azure 托管 Grafana）已完成補(bǔ)丁部署。

對(duì)于自托管部署的管理員，可通過安裝以下任一更新版本修復(fù)漏洞：

·Grafana 企業(yè)版 12.3.0

·Grafana 企業(yè)版 12.2.1

·Grafana 企業(yè)版 12.1.3

·Grafana 企業(yè)版 12.0.6

漏洞發(fā)現(xiàn)與處理時(shí)間線

該漏洞于 11 月 4 日在內(nèi)部審計(jì)過程中被發(fā)現(xiàn)，約 24 小時(shí)后 Grafana 團(tuán)隊(duì)便推出了安全更新。在此期間，Grafana Labs 經(jīng)調(diào)查確認(rèn)，該漏洞未在 Grafana 云服務(wù)中被實(shí)際利用。11 月 19 日，官方正式發(fā)布安全更新及配套公告。官方建議 Grafana 用戶盡快安裝可用補(bǔ)丁，或通過修改配置（禁用 SCIM 功能）阻斷潛在攻擊路徑。

上月，實(shí)時(shí)情報(bào)公司 GreyNoise 曾報(bào)告針對(duì) Grafana 舊版路徑遍歷漏洞的掃描活動(dòng)異常增多。研究人員此前指出，這類掃描活動(dòng)可能是為探測暴露的 Grafana 實(shí)例，為后續(xù)新漏洞披露后的攻擊做準(zhǔn)備。目前，Grafana Labs 已向客戶推送補(bǔ)丁版本，并完成相關(guān)防護(hù)配置部署，且Grafana 開源版用戶不受此漏洞影響。

參考及來源：https://www.bleepingcomputer.com/news/security/grafana-warns-of-max-severity-admin-spoofing-vulnerability/