概要

Grafana Labsは、SCIMプロビジョニング機能における重大な脆弱性に対処するための緊急セキュリティパッチをリリースしました。この脆弱性は、攻撃者が特権を昇格させたり、ユーザーになりすましたりする可能性があるものです。

「CVE-2025-41115」として追跡され、CVSSスコア10.0（Critical）と評価されているこの欠陥は、特定の構成下のGrafana Enterpriseバージョン12.0.0から12.2.1に影響を与えます。影響を受けるバージョンを使用している組織は、直ちにパッチ適用済みのリリースに更新する必要があります。

脆弱性の詳細

この脆弱性は、Grafanaが2025年4月に導入した自動ユーザーライフサイクル管理を簡素化するためのシステム間クロスドメインID管理（SCIM）プロビジョニング機能に存在します。システムがユーザーIDマッピングを処理する方法の重大な欠陥により、悪意のある、または侵害されたSCIMクライアントは、数値の外部IDを持つユーザーをプロビジョニングできます。

これらの数値は内部ユーザーIDを上書きする可能性があり、攻撃者が管理者アカウントを含む既存の特権アカウントとしてアクセスする可能性があります。これにより、事実上、適切な認証なしに管理者権限を取得できる可能性があります。

影響範囲と要件

この脆弱性は、SCIMプロビジョニングが有効であり、特定の構成設定がされているGrafana環境にのみ影響します。悪用には、以下の2つの条件が同時に満たされる必要があります:

• enableSCIM機能フラグがtrueに設定されていること。
• auth.scimブロック内のuser_sync_enabled構成オプションも有効になっていること。

これらの条件が揃っている場合、システムはSCIM外部IDを内部ユーザーUIDに直接マッピングします。攻撃者は、既存の管理者アカウントと一致する数値の外部IDを持つユーザーを作成することで、この脆弱性を悪用し、管理権限を不正に取得する可能性があります。一部のシナリオでは、完全なアカウントなりすましにつながる可能性があります。なお、Grafana OSSユーザーはこの脆弱性の影響を受けません。

対応と推奨事項

Grafana Labsは、2025年11月19日に以下のパッチ適用済みバージョンをリリースしました:

• Enterprise 12.3.0
• 12.2.1
• 12.1.3
• 12.0.6

同社は、これらのパッチ適用済みバージョンのいずれかに直ちにアップグレードすることを強く推奨しています。Grafana Cloudの顧客はすでに保護されており、パッチは公開前にすべてのマネージドクラウドインスタンスに適用されました。Amazon Managed GrafanaとAzure Managed Grafanaも、それぞれのサービスが安全であることを確認しています。

Grafana Labsは、内部セキュリティテスト中にこの脆弱性を発見し、直ちに対策を開始しました。パッチ適用前にGrafana Cloud環境でこの欠陥が悪用された証拠はありません。

直ちに更新できない組織の場合、SCIMプロビジョニングまたはuser_sync_enabled設定を無効にすることで、パッチが適用されるまでの一時的な緩和策となります。悪用が疑われる場合は、不審なユーザープロビジョニング活動の監査ログを確認し、予期しない管理者アカウントアクセスをチェックする必要があります。セキュリティチームは、Grafanaの公式ブログで追加のガイダンスを監視し、パッチ適用中のサービス中断を最小限に抑えるためにITインフラチームと調整する必要があります。

---

元記事: https://gbhackers.com/critical-grafana-flaw-lets-attackers-escalate-privileges/