開源及高度靈活使用彈性的圖表資料呈現系統Grafana,由於能整合多種來源資料,並具備即時儀表板、資料分析,以及事件警告的功能,成為不少企業組織系統監控的重要工具,一旦出現嚴重的漏洞,便成為資安界關注的焦點。
11月19日Grafana發布企業版更新12.3、12.2.1、12.1.3,以及12.0.6版,修補CVSS風險滿分的重大漏洞CVE-2025-41115,此漏洞在跨網域身分識別管理系統(System for Cross-domain Identity Management,SCIM)出現,有可能在特定組態的環境下,攻擊者可用來權限提升,或是冒充任意的使用者。
這項漏洞主要影響的範圍,是啟用SCIM的企業版與雲端版(Grafana Cloud)用戶,最初在11月4日由Grafana於內部稽核及測試流程察覺,當時他們發現在SCIM採用特定組態的狀態下,使用者的ID可能會遭到複寫。經調查後確認,該漏洞出現在使用者識別的處理機制,使得攻擊者能透過惡意或遭入侵的SCIM用戶端,產生帶有特定externalId的使用者,而有可能複寫內部使用者ID,並導致冒用使用者或權限提升的情況。
SCIM是Grafana自今年4月開始引入的新功能,主要是導入自動化的使用者生命週期管理,改善企業組織管理Grafana使用者及團隊的能力,因此,漏洞的影響範圍,可追溯到今年5月發布12.0.0版Grafana企業版,開源版本Grafana OSS不受影響,他們也已清查Grafana Cloud,確認此平臺未出現漏洞利用的跡象。
過往Grafana也曾修補重大漏洞,並提出警告。一年前他們曾公布CVE-2024-9264,此為SQL表達式(SQL Expressions)的處理不當,而造成的命令注入及本機檔案包含(Local File Inclusion,LFI)弱點,CVSS風險評分達到9.9。
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-02
