CVE-2025-41115 : Une vulnérabilité d’élévation de privilèges de gravité maximale dans le composant SCIM de Grafana
Suite à la révélation début novembre du CVE-2025-48593, un problème critique de RCE dans le composant du système Android, une autre vulnérabilité de gravité maximale suscite l’agitation dans le paysage des menaces cybernétiques. La nouvelle faille identifiée dans Grafana, suivie sous le nom de CVE-2025-41115, pourrait permettre une élévation de privilèges ou une usurpation d’identité utilisateur dans des configurations spécifiques.
Grafana, en tant que plateforme d’analytique open-source populaire, a été utilisée à des fins offensives au cours du dernier demi-décennie, posant une menace à ses utilisateurs mondiaux. Par exemple, à la mi-juin 2025, des chercheurs ont découvert une vulnérabilité XSS dans Grafana, CVE-2025-4123, permettant aux adversaires d’exécuter des plugins malveillants et de compromettre des comptes d’utilisateurs sans nécessiter de permissions élevées.
Ces vulnérabilités soulignent le volume croissant de problèmes de sécurité impactant les écosystèmes open-source. Le rapport 2025 sur l’analyse de la sécurité et des risques des logiciels open-source (OSSRA) a révélé que 86 % des applications examinées contenaient des composants open-source vulnérables, et 81 % incluaient des failles classées comme graves ou critiques. Ces tendances renforcent le besoin constant de vigilance proactive et de contenu de détection des menaces en temps réel, garantissant que les défenseurs puissent identifier et atténuer les risques émergents avant qu’ils ne s’aggravent.
Inscrivez-vous maintenant à la plateforme SOC Prime, la suite de produits leader de l’industrie, sans dépendance à un fournisseur, conçue pour les défenseurs en temps réel, pour découvrir une vaste collection de contenu de détection organisé et d’intelligence des menaces native IA, aidant les équipes de sécurité à anticiper les attaquants. Cliquez sur Explorer les Détections pour accéder à un contenu SOC enrichi en contexte pour la détection d’exploits de vulnérabilité filtrée par le tag personnalisé correspondant “CVE”.
Les algorithmes de détection peuvent être appliqués à travers des dizaines de solutions SIEM, EDR et Data Lake largement adoptées et sont alignés avec le cadre MITRE ATT&CK® . De plus, chaque règle est enrichie avec des renseignements sur les menaces natives IA, incluant CTI des liens, des chronologies d’attaques, des configurations d’audit, des recommandations de triage, et d’autres métadonnées approfondies.
Les équipes de sécurité peuvent également tirer parti de Uncoder AI pour convertir instantanément les IOCs en requêtes de chasse personnalisées, générer du code de détection à partir de rapports de menaces bruts, visualiser des diagrammes de flux d’attaques, activer la prédiction de tags ATT&CK, traduire le contenu de détection dans plusieurs formats, et exécuter d’autres tâches quotidiennes d’ingénierie de détection de bout en bout.
Analyse du CVE-2025-41115
Grafana a récemment déployé des builds mis à jour de Grafana Enterprise 12.3, ainsi que des versions rafraîchies 12.2.1, 12.1.3, et 12.0.6, chacune abordant une faille de gravité maximale nouvellement découverte (CVE-2025-41115). Le problème a été découvert lors d’un audit interne le 4 novembre 2025. La faille a le score CVSS le plus élevé de 10.0 et affecte la fonctionnalité SCIM (System for Cross-domain Identity Management), introduite à la mi-printemps 2025 et actuellement en préversion publique.
Le problème apparaît dans Grafana 12.x lorsque l’approvisionnement SCIM est à la fois activé et configuré. Un client SCIM malveillant ou compromis peut approvisionner un utilisateur avec un externalIdnumérique, potentiellement en remplaçant les identifiants d’utilisateurs internes et permettant l’usurpation d’identité, même d’un compte administrateur, ou une élévation des privilèges.
L’exploitation nécessite à la fois l’option enableSCIM et l’option user_sync_enabled dans le [auth.scim] bloc de configuration pour être activées.
La vulnérabilité impacte les versions de Grafana Enterprise 12.0.0 à 12.2.1. En raison du fait que Grafana mappe directement l’externalId SCIM à son user.uid interne, les valeurs numériques peuvent être mal interprétées comme des identifiants d’utilisateur existants. Dans certains cas, cela pourrait amener un utilisateur nouvellement créé à être traité comme un compte interne avec des privilèges élevés. Grafana a instantanément publié des correctifs comme mesures d’atténuation urgentes pour le CVE-2025-41115. Étant donné la gravité de la vulnérabilité, les organisations sont fortement encouragées à mettre à jour immédiatement pour réduire le risque d’attaques. Comptez sur la plateforme SOC Prime qui organise le plus grand ensemble de données en matière de détection et met constamment à jour le contenu de détection contre les menaces émergentes pour renforcer la posture de cybersécurité de votre organisation et prévenir les cyberattaques qui comptent le plus.
