Grafana Enterprise SCIM 佈建特權提升 (CVE-2025-41115)
critical Nessus Plugin ID 276746
語言:
概要
遠端主機缺少安全性更新。說明
已於 4 月在 Grafana Enterprise 和 Grafana Cloud 中引入 SCIM 佈建,透過引入自動化使用者生命週期管理,改善組織在 Grafana 中管理使用者和團隊的方式。在已啟用並設定 SCIM 佈建的 Grafana 12.x 版本中,使用者身分處理中的一個弱點允許惡意或遭入侵的 SCIM 用戶端佈建具有數值 externalId 的使用者,進而可能允許覆寫內部使用者 ID 並導致假冒或特權提升。只有在符合以下所有條件時,才會出現此弱點:- `enableSCIM` 功能旗標設定為 true - `[auth.scim]` 封鎖中的 `user_sync_enabled` 組態選項設定為 true。請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Grafana Enterprise 12.0.6、12.1.3、12.2.1、12.3.0 或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 276746
檔案名稱: grafana_CVE-2025-41115.nasl
版本: 1.2
類型: remote
系列: Web Servers
已發布: 2025/11/25
已更新: 2025/12/5
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 8.1
CVSS v2
風險因素: Critical
基本分數: 10
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2025-41115
CVSS v3
風險因素: Critical
基本分數: 10
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
弱點資訊
CPE: cpe:/a:grafana:grafana
必要的 KB 項目: installed_sw/Grafana Labs, Settings/ParanoidReport
修補程式發佈日期: 2025/11/19
弱點發布日期: 2025/11/19
參考資訊
CVE: CVE-2025-41115
IAVB: 2025-B-0198