Podatność w systemie Grafana Enterprise – Score CVSS 10
CSIRT CeZ ostrzega: wykryto krytyczną podatność w mechanizmie zarządzania tożsamością w Grafana Enterprise. Pozwala ona klientowi SCIM ustawić własny identyfikator. Dzięki temu może podszyć się pod innego użytkownika lub zdobyć dodatkowe uprawnienia.
Charakterystyka podatności
- Oznaczenie: CVE-2025-41115
- Score CVSS: 10 (Critical)
Jak działa podatność?
Problem wynika z możliwości manipulacji identyfikatorem externalId w procesie SCIM. Luka może zostać wykorzystana przez złośliwego lub zainfekowanego klienta SCIM do nadania własnego identyfikatora (externalId). To zaś umożliwia ominięcie wewnętrznych identyfikatorów i potencjalne podszywanie się pod użytkownika lub uzyskanie wyższych uprawnień.
Podatne systemy
- Grafana Enterprise w wersjach od 12.0.0 do 12.2.1
Działania zapobiegawcze
Zalecamy natychmiastowe wdrożenie poprawek zgodnie z rekomendacjami producenta.