Grafana, una de las plataformas líderes en analítica y observabilidad, ha lanzado actualizaciones de seguridad tras detectar una vulnerabilidad de máxima gravedad (CVSS 10.0) en su componente SCIM. Esta brecha, identificada como CVE-2025-41115, afectaba a las versiones 12.x de Grafana Enterprise, permitiendo potencialmente la suplantación de usuarios y la escalada de privilegios bajo ciertas configuraciones.
¿Qué es Grafana y para qué se utiliza?
Grafana es una herramienta de código abierto utilizada para monitorizar y visualizar métricas de sistemas, aplicaciones e infraestructuras tecnológicas. Su flexibilidad permite conectarse con diversas fuentes de datos como Prometheus, InfluxDB, Elasticsearch, MySQL y más, facilitando a equipos de DevOps y administradores TI la toma de decisiones y resolución de incidencias en tiempo real, gracias a sus potentes paneles personalizables.
La funcionalidad SCIM (System for Cross-domain Identity Management) permite la provisión automática de usuarios y su gestión centralizada, ayudando a grandes organizaciones a mantener bajo control el acceso y la identidad de sus empleados.
Detalles de la vulnerabilidad:
La vulnerabilidad radicaba en el manejo de identidades de usuario cuando el flag enableSCIM y la configuración user_sync_enabled estaban activados. Un SCIM client comprometido podía aprovisionar usuarios con un externalId numérico que, por su diseño, permitía sobrescribir el ID interno de usuarios existentes. Esto incluía cuentas con altos privilegios, como los administradores, abriendo la puerta a ataques de suplantación y escalada de privilegios.
Las versiones afectadas son Grafana Enterprise 12.0.0 a 12.2.1. Los usuarios deben actualizar a las versiones parcheadas: 12.0.6+security-01, 12.1.3+security-01, 12.2.1+security-01 o la nueva 12.3.0.
El error fue descubierto durante una auditoría interna el 4 de noviembre de 2025. Grafana recomienda aplicar los parches de inmediato debido al impacto severo de la falla.