Asignación incorrecta de privilegios en Grafana
Para Grafana Enterprise, las versiones comprometidas son:
- de la 12.0.0 a 12.0.6 incluida;
- de la 12.1.0 a 12.1.3 incluida;
- de la 12.2.0 a 12.2.1 incluida.
Para Grafana Cloud ya ha sido solucionada la incidencia.
Grafana Labs ha informado sobre 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, permitiría a un cliente malicioso provocar una suplantación de identidad o escalada de privilegios.
Se recomienda actualizar a las siguientes versiones Grafana Enterprise:
- 12.0.7.
- 12.1.4.
- 12.2.2.
- 12.3.0.
CVE-2025-41115: vulnerabilidad está asociada a la asignación errónea de privilegios y se produce cuando el aprovisionamiento de SCIM está habilitado y configurado. La vulnerabilidad está provocada en la gestión de la identidad del usuario, lo que permite que un cliente SCIM malicioso o comprometido pueda aprovisionar a un usuario con un 'externalId' numérico. Esto permitiría anular los identificadores internos del usuario y conducir a una suplantación de identidad o escalada de privilegios.
Esta vulnerabilidad solo es válida si se satisfacen todas las condiciones siguientes:
- La función 'enableSCIM' está activada.
- El bloque '[auth.scim]' tiene configurada la opción de configuración 'user_sync_enabled' como verdadera.
