Asignación incorrecta de privilegios en Grafana
Para Grafana Enterprise, las versiones afectadas son:
- de la 12.0.0 a 12.0.6 incluida;
- de la 12.1.0 a 12.1.3 incluida;
- de la 12.2.0 a 12.2.1 incluida.
Para Grafana Cloud la vulnerabilidad ya ha sido solucionada.
Grafana Labs ha informado sobre 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, permitiría a un cliente malicioso provocar una suplantación de identidad o escalada de privilegios.
Se recomienda actualizar a las siguientes versiones Grafana Enterprise:
- 12.0.7.
- 12.1.4.
- 12.2.2.
- 12.3.0.
CVE-2025-41115: vulnerabilidad está asociada a la asignación errónea de privilegios y se produce cuando el aprovisionamiento de SCIM está habilitado y configurado. La vulnerabilidad está provocada en la gestión de la identidad del usuario, lo que permite que un cliente SCIM malicioso o comprometido pueda aprovisionar a un usuario con un ‘externalId‘ numérico. Esto permitiría anular los identificadores internos del usuario y conducir a una suplantación de identidad o escalada de privilegios.
Esta vulnerabilidad solo es válida si se satisfacen todas las condiciones siguientes:
- La función ‘enableSCIM’ está activada.
- El bloque ‘[auth.scim]’ tiene configurada la opción de configuración ‘user_sync_enabled’ como verdadera.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.