Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-14561

Опубликовано: 19 нояб. 2025
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Низкий

Описание

Уязвимость реализации стандарта SCIM платформы для мониторинга и наблюдения Grafana связана с недостатками механизма присвоения привилегий. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к платформе

Вендор

Grafana Labs

Наименование ПО

Grafana

Версия ПО

до 12.3 (Grafana)
до 12.2.1 (Grafana)
до 12.1.3 (Grafana)
до 12.0.6 (Grafana)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 10)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности использования стандарта SCIM путем установления значения «false» параметра enableSCIM;
- отключение механизма автоматической синхронизации пользователей путем установления значения «false» параметра user_sync_enabled;
- использование средств межсетевого экранирования для ограничения доступа к уязвимой платформе;
- сегментирование сети для ограничения доступа к уязвимой платформе;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей.
Использование рекомендаций производителя:
https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00024
Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-41115

CVSS3: 10
nvd
22 дня назад

SCIM provisioning was introduced in Grafana Enterprise and Grafana Cloud in April to improve how organizations manage users and teams in Grafana by introducing automated user lifecycle management. In Grafana versions 12.x where SCIM provisioning is enabled and configured, a vulnerability in user identity handling allows a malicious or compromised SCIM client to provision a user with a numeric externalId, which in turn could allow to override internal user IDs and lead to impersonation or privilege escalation. This vulnerability applies only if all of the following conditions are met: - `enableSCIM` feature flag set to true - `user_sync_enabled` config option in the `[auth.scim]` block set to true

github логотип

GHSA-w62r-7c53-fmc5

CVSS3: 10
github
22 дня назад

Grafana Incorrect Privilege Assignment vulnerability

EPSS

Процентиль: 6%
0.00024
Низкий

10 Critical

CVSS3

10 Critical

CVSS2