Grafana Labs 发布安全预警，其企业版产品中存在一处最高严重级别漏洞（CVE-2025-41115）。攻击者可利用该漏洞将新创建用户伪装成管理员，或实现权限提升操作。

需注意的是，该漏洞仅在跨域身份管理系统配置并启用的场景下可被利用。具体而言，只有当 "enableSCIM" 功能开关与 "user_sync_enabled" 选项均设置为 "true" 时，恶意或已被劫持的 SCIM 客户端才能通过配置 " 数字格式 externalId" 的方式，将新用户关联到包括管理员在内的内部账号。其中，externalId 是身份提供商用于追踪用户的 SCIM 记账属性。

由于 Grafana 会将该属性值直接映射到内部用户的 "user.uid" 字段，像 "1" 这样的数字格式 externalId 可能被系统识别为已存在的内部账号，进而导致账号冒充或权限提升风险。 

根据 Grafana 官方文档，SCIM 配置功能目前处于 " 公开预览 " 阶段，支持力度有限，因此该功能的实际应用范围可能并不广泛。 

Grafana 作为一款数据可视化与监控平台，用户群体覆盖各类组织——从小型初创企业到知名大型企业均在使用。其核心功能是将指标数据、日志及其他运维数据转化为可视化仪表盘、告警通知与分析报告。

Grafana Labs 表示：" 在特定场景下，该漏洞可能导致新配置的用户被识别为已存在的内部账号（如管理员账号），进而引发账号冒充或权限提升风险。"

漏洞影响范围与修复方案

CVE-2025-41115 漏洞影响 Grafana 企业版 12.0.0 至 12.2.1 版本（需满足 SCIM 已启用的条件）。其中，Grafana 开源版（OSS）用户不受影响；Grafana 云服务（包括亚马逊托管 Grafana、Azure 托管 Grafana）已完成补丁部署。 

对于自托管部署的管理员，可通过安装以下任一更新版本修复漏洞：

·Grafana 企业版 12.3.0

·Grafana 企业版 12.2.1

·Grafana 企业版 12.1.3

·Grafana 企业版 12.0.6  

漏洞发现与处置时间线

该漏洞于 11 月 4 日在内部审计过程中被发现，约 24 小时后 Grafana 团队便推出了安全更新。在此期间，Grafana Labs 经调查确认，该漏洞未在 Grafana 云服务中被实际利用。11 月 19 日，官方正式发布安全更新及配套公告。官方建议 Grafana 用户尽快安装可用补丁，或通过修改配置（禁用 SCIM 功能）阻断潜在攻击路径。

上月，实时情报公司 GreyNoise 曾报告针对 Grafana 旧版路径遍历漏洞的扫描活动异常增多。研究人员此前指出，这类扫描活动可能是为探测暴露的 Grafana 实例，为后续新漏洞披露后的攻击做准备。目前，Grafana Labs 已向客户推送补丁版本，并完成相关防护配置部署，且 Grafana 开源版用户不受此漏洞影响。