CVE-2025-41115: Eine Schwachstelle zur Rechteerweiterung höchster Schwere im Grafana SCIM-Komponente
Nach der frühen Enthüllung von CVE-2025-48593, einem kritischen RCE-Problem im Android-Systemkomponente, sorgt eine weitere Sicherheitslücke mit höchstem Schweregrad in der Cyber-Bedrohungslandschaft für Aufsehen. Die neu identifizierte Grafana-Schwachstelle, die als CVE-2025-41115 verfolgt wird, könnte Privilegieneskalation oder Benutzerimitation in bestimmten Konfigurationen ermöglichen.
Grafana, als beliebte Open-Source-Analyseplattform, wurde in den letzten fünf Jahren für offensive Zwecke missbraucht und stellt eine Bedrohung für seine weltweiten Nutzer dar. Beispielsweise entdeckten Forscher Mitte Juni 2025 eine XSS-Schwachstelle in Grafana, CVE-2025-4123, die es Angreifern ermöglicht, bösartige Plugins auszuführen und Benutzerkonten zu kompromittieren, ohne erhöhte Berechtigungen zu benötigen.
Solche Schwachstellen unterstreichen die zunehmende Anzahl von Sicherheitsproblemen, die Open-Source-Ökosysteme betreffen. Der 2025 Open Source Security and Risk Analysis (OSSRA) Bericht enthüllte, dass 86 % der überprüften Anwendungen anfällige Open-Source-Komponenten enthielten und 81 % Fehler mit hoher oder kritischer Einstufung hatten. Diese Trends verstärken die kontinuierliche Notwendigkeit für proaktive Wachsamkeit und Echtzeit-Bedrohungserkennung, um sicherzustellen, dass Verteidiger aufkommende Risiken identifizieren und mindern können, bevor sie eskalieren.
Melden Sie sich jetzt für die SOC Prime Plattform, die branchenführende herstellerunabhängige Produktsuite, die für Echtzeit-Verteidiger entwickelt wurde, um eine umfangreiche Sammlung kuratierter Erkennungsinhalte und KI-native Bedrohungsinformationen zu entdecken, die Sicherheitsteams helfen, Angreifern einen Schritt voraus zu sein. Klicken Sie auf Erkennungen erkunden , um Zugang zu kontextbereichernden SOC-Inhalten für die Erkennung von Ausnutzungsschwachstellen, gefiltert durch das entsprechende benutzerdefinierte „CVE“-Tag, zu erhalten.
Erkennungsalgorithmen können über Dutzende weit verbreiteter SIEM-, EDR- und Data-Lake-Lösungen angewendet werden und sind mit dem MITRE ATT&CK® Framework abgestimmt. Darüber hinaus ist jede Regel angereichert mit KI-nativen Bedrohungsinformationen, einschließlich CTI Links, Angriffschroniken, Prüfkonfigurationen, Triangeempfehlungen und anderen ausführlichen Metadaten.
Sicherheitsteams können auch von Uncoder AI profitieren, um IOCs sofort in benutzerdefinierte Jagdanfragen umzuwandeln, Erkennungscode aus Rohbedrohungsberichten zu generieren, Angriffswertdiagramme zu visualisieren, ATT&CK-Tag-Vorhersagen zu ermöglichen, Erkennungsinhalte in mehrere Formate zu übersetzen und andere alltägliche Detektion Engineering-Aufgaben durchzuführen.
CVE-2025-41115-Analyse
Grafana hat kürzlich aktualisierte Builds von Grafana Enterprise 12.3 sowie aktualisierte Versionen 12.2.1, 12.1.3 und 12.0.6 veröffentlicht, die alle eine neu entdeckte Schwachstelle mit höchstem Schweregrad (CVE-2025-41115) beheben. Das Problem wurde während einer internen Prüfung am 4. November 2025 entdeckt. Die Schwachstelle weist die höchste mögliche CVSS-Bewertung von 10.0 auf und betrifft das SCIM (System for Cross-domain Identity Management)-Feature, das Mitte Frühling 2025 eingeführt wurde und sich derzeit in der öffentlichen Vorschau befindet.
Das Problem tritt in Grafana 12.x auf, wenn die SCIM-Bereitstellung sowohl aktiviert als auch konfiguriert ist. Ein bösartiger oder kompromittierter SCIM-Client kann einen Benutzer mit einer numerischen externalId bereitstellen, was potenziell interne Benutzer-IDs überschreiben und Imitation, sogar eines Administrator-Kontos, oder Privilegieneskalation ermöglichen kann.
Die Ausnutzung erfordert sowohl die enableSCIM Feature-Flag als auch die user_sync_enabled Option im [auth.scim] Konfigurationsblock aktiviert zu haben.
Die Schwachstelle betrifft Grafana Enterprise Versionen 12.0.0 bis 12.2.1. Da Grafana die SCIM externalId direkt mit der internen user.uid verknüpft, können numerische Werte als bestehende Benutzer-IDs fehlinterpretiert werden. In bestimmten Fällen könnte dies dazu führen, dass ein neu erstellter Benutzer als internes Konto mit erweiterten Privilegien behandelt wird. Grafana gab sofort Patches als dringende CVE-2025-41115-Minderungsmaßnahmen heraus. Aufgrund der Schwere der Schwachstelle wird Organisationen dringend empfohlen, sofort zu aktualisieren, um das Risiko von Angriffen zu verringern. Verlassen Sie sich auf SOC Prime Plattform die das weltweit größte Erkennungsintelligenz-Dataset kuratiert und ständig aktualisierte Erkennungsinhalte gegen aufkommende Bedrohungen zur Verfügung stellt, um die Cybersecurity-Kapazitäten Ihrer Organisation zu stärken und die wichtigsten Cyberangriffe frühzeitig zu erkennen.
