La vulnerabilidad CVE-2025-41115, catalogada con severidad máxima, afecta a implementaciones de Grafana Enterprise que utilizan SCIM y podría permitir la creación de usuarios con privilegios de administrador. La compañía lanzó parches para todas las ramas afectadas y asegura que Grafana Cloud no fue comprometido.
Grafana Labs anunció esta semana una actualización de seguridad para sus versiones Enterprise tras detectar una vulnerabilidad crítica -identificada como CVE-2025-41115-, la cual permite la suplantación de cuentas administrativas y la escalada de privilegios en instalaciones que usan el sistema de provisión SCIM (System for Cross-domain Identity Management). La compañía explicó que el problema fue descubierto internamente el 4 de noviembre y corregido dentro de las siguientes 24 horas, antes de la publicación del boletín público del pasado 19 de noviembre.
De acuerdo con la documentación de la empresa, el error se encuentra en la forma en que Grafana Enterprise asigna la identidad externa (externalId) entregada por un cliente SCIM. En determinadas configuraciones -cuando las opciones enableSCIM y user_sync_enabled están activadas- un atacante podría crear un usuario con un externalId numérico. “En casos específicos, esto podría permitir que el usuario recién aprovisionado sea tratado como una cuenta interna existente, como la de administrador, generando escenarios de suplantación o escalada de privilegios”, explicó Grafana Labs en su comunicado.
La falla afecta a las versiones de Grafana Enterprise entre la 12.0.0 y la 12.2.1, siempre que SCIM esté habilitado. Grafana OSS no se ve comprometido, y los entornos de Grafana Cloud -incluyendo Amazon Managed Grafana y Azure Managed Grafana- ya recibieron los parches de manera anticipada bajo embargo.
El impacto potencial de la vulnerabilidad es considerable debido a que SCIM -actualmente en etapa de Public Preview- permite automatizar el ciclo de vida de usuarios y equipos. Según Grafana, la asignación directa del externalId al identificador interno (user.uid) provocó que valores numéricos como “1” fueran interpretados como IDs legítimos dentro del sistema, abriendo la puerta a que un cliente SCIM malicioso sobrescribiera cuentas ya existentes.
Los parches ya están disponibles en las versiones 12.3.0, 12.2.1, 12.1.3 y 12.0.6 de Grafana Enterprise. La empresa recomienda actualizar lo antes posible o deshabilitar SCIM temporalmente para reducir el riesgo de explotación. Como parte del proceso de divulgación, la compañía publicó además una cronología detallada del incidente, que incluye auditorías internas, lanzamiento privado a clientes y confirmación de que no existieron signos de explotación en Grafana Cloud antes de la corrección.
Grafana Labs reiteró su política de transparencia en la gestión de problemas de seguridad y recordó que mantiene un programa de bug bounty y un canal formal para reportar fallas de forma responsable.