Resumo técnico
A vulnerabilidade, rastreada como CVE-2025-41115 e avaliada com CVSS 10.0, existe na funcionalidade de setup SCIM introduzida em abril de 2025. Afeta Grafana Enterprise nas versões 12.0.0 até 12.2.1, quando as opções enableSCIM e user_sync_enabled estão ativas.
Vetor e impacto
Segundo a nota de segurança da Grafana Labs, o problema deriva do tratamento incorreto de identidades: um cliente SCIM malicioso ou comprometido pode provisionar um usuário com um externalId numérico capaz de sobrescrever IDs internos, possibilitando a usurpação de identidade de usuários existentes, incluindo administradores — cenário que pode levar à tomada completa do ambiente afetado.
Quem é afetado
- Produto: Grafana Enterprise com SCIM habilitado;
- Versões afetadas: 12.0.0 a 12.2.1 (quando enableSCIM = true e user_sync_enabled = true);
- Grafana OSS não é afetada;
- Grafana Cloud e clientes gerenciados em AWS e Azure receberam atualizações automáticas, segundo a empresa.
Mitigação
Grafana Labs disponibilizou releases corrigidos: 12.3.0, 12.2.1, 12.1.3 e 12.0.6 — recomenda‑se atualização imediata das instâncias Enterprise afetadas. A empresa informou que a falha foi descoberta durante auditorias internas em 4 de novembro de 2025 e que não há confirmação de exploração em ambientes Grafana Cloud.
Limitações das informações
A divulgação é técnica e direta; Grafana Labs não reportou vetores de exploração na natureza ou incidentes públicos associados às versões on‑premise afetadas. As instruções fornecidas concentram‑se na aplicação dos updates e na revisão das configurações SCIM.
Recomendações práticas
- Aplicar os patches publicados para as versões Enterprise indicadas;
- Se não houver necessidade imediata do SCIM, considerar desabilitar enableSCIM e user_sync_enabled até atualização completa;
- Revisar logs de provisionamento e possíveis criações/alterações de contas com externalId numérico.
Fonte
Com base no comunicado oficial da Grafana Labs e em reportagens técnicas publicadas nas últimas 24 horas.