Grafana Labs は、Enterprise 製品において、新規ユーザーを管理者として扱えたり、権限昇格に悪用されたりする可能性のある最大深刻度の脆弱性(CVE-2025-41115)について警告しています。
この問題が悪用可能となるのは、SCIM(System for Cross-domain Identity Management)プロビジョニングが有効化され、設定されている場合に限られます。
具体的には、悪意のある、または侵害された SCIM クライアントが、管理者を含む内部アカウントにマッピングされる数値の externalId を持つユーザーをプロビジョニングできるようにするには、’enableSCIM’ フィーチャーフラグと ‘user_sync_enabled’ オプションの両方が true に設定されている必要があります。
externalId は、アイデンティティプロバイダーがユーザーを追跡するために使用する SCIM の記録用属性です。
Grafana がこの値を内部の user.uid に直接マッピングしていたため、\ “1\” のような数値の externalId が既存の内部アカウントとして解釈され、なりすましや権限昇格を可能にしてしまうおそれがありました。
Grafana のドキュメントによると、SCIM プロビジョニングは現在「パブリックプレビュー」段階であり、提供されるサポートも限定的です。このため、この機能の採用はそれほど広くは進んでいない可能性があります。
Grafana は、スタートアップからフォーチュン 500 企業まで幅広い組織が利用するデータ可視化・監視プラットフォームで、メトリクス、ログ、その他の運用データをダッシュボード、アラート、分析へと変換するために用いられています。
「特定のケースでは、新たにプロビジョニングされたユーザーが、Admin など既存の内部アカウントとして扱われる可能性があり、なりすましや権限昇格につながるおそれがあります」 – Grafana Labs
CVE-2025-41115 は、(SCIM が有効化されている場合)Grafana Enterprise のバージョン 12.0.0 から 12.2.1 の間に影響します。
Grafana OSS ユーザーには影響はなく、Amazon Managed Grafana や Azure Managed Grafana を含む Grafana Cloud サービスにはすでにパッチが適用されています。
セルフマネージド環境の管理者は、以下のいずれかのアップデートを適用することでリスクに対処できます。
- Grafana Enterprise バージョン 12.3.0
- Grafana Enterprise バージョン 12.2.1
- Grafana Enterprise バージョン 12.1.3
- Grafana Enterprise バージョン 12.0.6
「インスタンスが脆弱な状態にある場合は、可能な限り早急に、パッチ適用済みバージョンのいずれかへアップグレードすることを強く推奨します」と Grafana Labs は警告しています。
この欠陥は 11 月 4 日の内部監査中に発見され、およそ 24 時間後にセキュリティアップデートが導入されました。
その間、Grafana Labs は調査を行い、この欠陥が Grafana Cloud 上で悪用された形跡はないと判断しました。
セキュリティアップデートの一般公開と、それに伴うセキュリティ情報の公開は 11 月 19 日に行われました。
Grafana ユーザーには、利用可能なパッチをできるだけ早く適用するか、設定を変更して(SCIM を無効化して)潜在的な悪用の機会を塞ぐことが推奨されています。
先月、GreyNoise は報告で、Grafana に存在する古いパストラバーサル脆弱性を標的としたスキャン活動が異常に増加していることを明らかにしました。研究者らが以前から指摘しているように、これは新たな脆弱性の公開に備えて、公開インスタンスをマッピングする目的で悪用される可能性があります。
