A Grafana Labs emitiu um aviso urgente para os utilizadores da sua plataforma Enterprise, alertando para uma vulnerabilidade de severidade máxima (CVE-2025-41115) que pode colocar organizações inteiras em risco. A falha permite que novos utilizadores assumam privilégios de administrador ou escalem as suas permissões indevidamente, comprometendo a segurança dos dados de visualização e monitorização.
Este problema afeta especificamente o Grafana Enterprise e está diretamente ligado ao sistema de provisionamento SCIM (System for Cross-domain Identity Management). Se a sua organização utiliza esta funcionalidade, é imperativo agir de imediato.
O perigo do SCIM e IDs numéricos
O núcleo do problema reside na forma como o Grafana gere a sincronização de identidades quando o SCIM está ativo. Para que a vulnerabilidade seja explorada, é necessário que as opções de configuração enableSCIM e user_sync_enabled estejam ambas definidas como "true".
Neste cenário, um cliente SCIM mal-intencionado ou comprometido pode provisionar um novo utilizador atribuindo-lhe um identificador externo (externalId) numérico. O erro crítico acontece porque o Grafana mapeia este valor diretamente para o seu user.uid interno.
Por exemplo, se um atacante definir o externalId como "1", o sistema pode interpretar esse novo registo como sendo a conta interna já existente com o ID 1 — que, na maioria dos casos, corresponde ao Super Administrador. Isto resulta numa usurpação de identidade imediata e total.
Apesar da gravidade, a documentação oficial indica que o provisionamento SCIM ainda se encontra em fase de "Public Preview", o que pode limitar o número de instalações afetadas, uma vez que a adoção desta funcionalidade específica pode não ser ainda generalizada.
Versões afetadas e como corrigir
A vulnerabilidade impacta as versões do Grafana Enterprise entre a 12.0.0 e a 12.2.1, mas apenas quando o SCIM está ativado. É importante notar que os utilizadores da versão Grafana OSS (Open Source) não estão afetados por esta falha.
Para quem utiliza serviços geridos na nuvem, como o Amazon Managed Grafana (da Amazon) ou o Azure Managed Grafana (da Microsoft), a boa notícia é que estas plataformas já receberam as correções necessárias e estão seguras.
Para administradores de instalações self-managed (geridas localmente), a solução passa pela atualização imediata para uma das seguintes versões corrigidas:
Grafana Enterprise 12.3.0
Grafana Enterprise 12.2.1
Grafana Enterprise 12.1.3
Grafana Enterprise 12.0.6
A falha foi descoberta durante uma auditoria interna no início de novembro e, segundo confirmou a Grafana Labs, não existem evidências de que tenha sido explorada nos seus serviços cloud. Caso não seja possível atualizar imediatamente, a recomendação de segurança é desativar temporariamente o provisionamento SCIM para fechar a porta a possíveis ataques.
Nenhum comentário
Seja o primeiro!