Vulnerabilidades críticas en Grafana 2025
Vulnerabilidad crítica - 24 noviembre
Introducción
CVE-2025-41115 afecta a Grafana Enterprise y en parte a Grafana Cloud y se encuentra en el mecanismo de aprovisionamiento de usuarios mediante SCIM (System for Cross-domain Identity Management).
Análisis
CVE-2025-41115 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H - 10
CVE-2025-41115 se origina en la función de aprovisionamiento de usuarios mediante SCIM (System for Cross-domain Identity Management). Esta función solo representa un riesgo cuando dos configuraciones específicas están activadas simultáneamente: enableSCIM = true y, dentro del bloque [auth.scim], la opción user_sync_enabled = true.
Cuando esas opciones están habilitadas, Grafana permite que un cliente SCIM cree usuarios nuevos. El fallo radica en que el campo externalId proporcionado por el cliente se utiliza directamente para asignar el identificador interno del usuario (uid). Si ese externalId es un número, puede coincidir con el identificador interno de un usuario legítimo que ya exista, incluido el administrador. Como consecuencia, un cliente SCIM malicioso o comprometido puede provocar que Grafana asigne a un nuevo usuario el mismo identificador que un usuario real existente y, así, suplantarlo o asumir sus privilegios.
Versiones afectadas
Grafana Enterprise 12.0.0 hasta 12.2.1 (cuando la funcionalidad SCIM estaba habilitada/configurada).
Recomendaciones
Actualizar a versiones parcheadas.
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-41115
- https://www.ccn-cert.cni.es/es/seguridad-al-dia/vulnerabilidades/view/47890.html
- https://thehackernews.com/2025/11/grafana-patches-cvss-100-scim-flaw.html