Grafana Labs mengeluarkan peringatan mengenai kerentanan dengan tingkat keparahan maksimum (CVE-2025-41115) pada Grafana Enterprise yang dapat dieksploitasi untuk memperlakukan pengguna baru sebagai administrator atau meningkatkan hak akses secara ilegal. Kerentanan ini muncul khusus pada konfigurasi yang mengaktifkan SCIM (System for Cross-domain Identity Management), sebuah fitur yang masih berada dalam tahap Public Preview.
Kerentanan terjadi ketika dua opsi konfigurasi—enableSCIM dan user_sync_enabled—aktif secara bersamaan. Dalam kondisi tersebut, klien SCIM yang berbahaya dapat memprovisikan pengguna dengan externalId bernilai numerik yang cocok dengan user.uid internal Grafana. Hal ini membuka peluang impersonasi akun internal, termasuk akun admin, sehingga memudahkan eskalasi hak akses.
Masalah utama terletak pada pemetaan langsung externalId SCIM terhadap identitas pengguna internal. Jika penyerang menggunakan nilai numerik seperti “1”, sistem dapat mengartikannya sebagai akun admin yang valid. Meski demikian, karena fitur SCIM masih terbatas dan tidak digunakan secara luas, dampak insiden ini diperkirakan tidak meluas.
Grafana menegaskan bahwa pengguna Grafana OSS tidak terdampak. Sementara itu, layanan Grafana Cloud—termasuk Amazon Managed Grafana dan Azure Managed Grafana—telah menerima tambalan keamanan. Organisasi yang menggunakan instalasi mandiri Grafana Enterprise diminta segera memperbarui sistem mereka ke versi yang telah ditambal, yakni 12.3.0, 12.2.1, 12.1.3, atau 12.0.6.
Menurut Grafana Labs, kerentanan ini ditemukan pada 4 November dalam audit internal, dan perbaikan telah dikembangkan dalam waktu 24 jam. Penyelidikan selama periode tersebut memastikan bahwa tidak ada indikasi eksploitasi pada lingkungan Grafana Cloud. Pembaruan keamanan kemudian dirilis ke publik pada 19 November.
Administrasi yang belum dapat memperbarui versi perangkat lunak disarankan untuk menonaktifkan SCIM sebagai tindakan mitigasi sementara. Langkah ini penting mengingat adanya peningkatan aktivitas pemindaian yang sebelumnya dilaporkan oleh peneliti, yang diduga menjadi persiapan sebelum dirilisnya detail kerentanan baru.
Dalam pembaruan terbaru, Grafana menegaskan komitmennya terhadap keamanan pelanggan dan transparansi dalam penanganan isu ini, termasuk bekerja di bawah embargo dengan penyedia cloud untuk memastikan perlindungan diterapkan sebelum pengungkapan publik.