概要:Grafana Enterpriseの深刻な脆弱性
Grafana Labsは、同社の監視プラットフォーム製品であるGrafana Enterpriseに、最大深刻度(Max Severity)の脆弱性CVE-2025-41115が存在すると警告しました。この脆弱性が悪用されると、新規ユーザーが管理者として扱われたり、特権昇格が可能になったりする恐れがあります。
この問題は、SCIM (System for Cross-domain Identity Management) プロビジョニングが有効かつ設定されている場合にのみ悪用可能です。具体的には、’enableSCIM’機能フラグと’user_sync_enabled’オプションの両方がtrueに設定されている必要があります。
脆弱性の詳細
脆弱性の核心は、SCIMクライアントが悪意を持って、または侵害されて、内部アカウントにマッピングされる数値のexternalIdを持つユーザーをプロビジョニングできる点にあります。例えば、"1"のようなexternalIdが既存の内部アカウント、特に管理者アカウントとして解釈され、なりすましや特権昇格につながる可能性があります。
GrafanaがこのexternalId値を内部のuser.uidに直接マッピングしていたことが原因です。Grafanaのドキュメントによると、SCIMプロビジョニングは現在「Public Preview」段階であり、限定的なサポートが提供されています。
影響を受ける製品と緩和策
CVE-2025-41115の影響を受けるのは、Grafana Enterpriseのバージョン12.0.0から12.2.1の間(SCIMが有効な場合)です。以下の製品は影響を受けません。
- Grafana OSSユーザー
- Grafana Cloudサービス (Amazon Managed GrafanaおよびAzure Managed Grafanaを含む) は既にパッチが適用済みです。
自己管理型のGrafana Enterpriseインスタンスの管理者は、以下のいずれかのバージョンに早急にアップグレードすることでリスクに対処できます。
- Grafana Enterprise version 12.3.0
- Grafana Enterprise version 12.2.1
- Grafana Enterprise version 12.1.3
- Grafana Enterprise version 12.0.6
アップグレードが困難な場合は、SCIM機能を無効にすることでも潜在的な悪用機会を排除できます。
発見と公開の経緯
この脆弱性は、11月4日の社内監査中に発見されました。その後、約24時間でセキュリティアップデートが導入され、Grafana Cloudでの悪用は確認されていないとされています。セキュリティアップデートと関連する情報公開は11月19日に行われました。
Grafanaユーザーは、利用可能なパッチをできるだけ早く適用するか、SCIM設定を変更して潜在的な悪用機会を閉じることを強く推奨します。