CVE-2025-41115: Una vulnerabilità di escalation dei privilegi di gravità massima nel componente SCIM di Grafana
A seguito della rivelazione all’inizio di novembre del CVE-2025-48593, un problema critico RCE nel componente del Sistema Android, un’altra vulnerabilità di massima gravità sta causando agitazione nel panorama delle minacce informatiche. Il nuovo difetto di Grafana, tracciato come CVE-2025-41115, potrebbe abilitare l’escalation dei privilegi o l’impersonificazione dell’utente in configurazioni specifiche.
Grafana, come popolare piattaforma di analisi open-source, è stata sfruttata per fini offensivi negli ultimi cinque anni, rappresentando una minaccia per i suoi utenti globali. Ad esempio, a metà giugno 2025, i ricercatori hanno scoperto una vulnerabilità XSS in Grafana, CVE-2025-4123, permettendo agli avversari di eseguire plugin malevoli e compromettere gli account utente senza richiedere permessi elevati.
Tali vulnerabilità sottolineano l’aumento del volume dei problemi di sicurezza che impattano sugli ecosistemi open-source. Il rapporto OSSRA (Open Source Security and Risk Analysis) del 2025 ha rivelato che l’86% delle applicazioni esaminate contenevano componenti open-source vulnerabili, e l’81% includeva difetti classificati come alti o critici. Queste tendenze rafforzano la necessità continua di vigilanza proattiva e contenuto per il rilevamento delle minacce in tempo reale, garantendo che i difensori possano identificare e mitigare i rischi emergenti prima che si intensifichino.
Registrati ora sulla piattaforma SOC Prime, la suite di prodotti indipendenti dal fornitore leader del settore costruita per i difensori in tempo reale, per scoprire una vasta raccolta di contenuti di rilevamento curati e intelligence sulle minacce basata su AI, aiutando i team di sicurezza a restare avanti agli attaccanti. Clicca Esplora le Rilevazioni per accedere al contenuto SOC arricchito di contesto per il rilevamento degli exploit di vulnerabilità filtrato dall’apposito tag personalizzato “CVE”.
Gli algoritmi di rilevamento possono essere applicati a decine di soluzioni SIEM, EDR e Data Lake ampiamente adottate e sono allineati con il framework MITRE ATT&CK® . Inoltre, ogni regola è arricchita con informazioni sulle minacce basate su AI, inclusi CTI link, cronologia degli attacchi, configurazioni di audit, raccomandazioni di triage e altri metadati approfonditi.
I team di sicurezza possono anche avvantaggiarsi di Uncoder AI per convertire istantaneamente gli IOC in query di ricerca personalizzate, generare codice di rilevamento dai report delle minacce grezzi, visualizzare diagrammi di Flusso d’Attacco, abilitare la previsione dei tag ATT&CK, tradurre contenuti di rilevamento in più formati e svolgere altre attività quotidiane di ingegneria dei rilevamenti da end-to-end.
Analisi del CVE-2025-41115
Grafana ha recentemente rilasciato build aggiornate di Grafana Enterprise 12.3, insieme alle versioni aggiornate 12.2.1, 12.1.3 e 12.0.6, ciascuna affrontando una vulnerabilità di massima gravità recentemente scoperta (CVE-2025-41115). Il problema è stato scoperto durante un audit interno il 4 novembre 2025. Il difetto ha il punteggio CVSS più alto possibile di 10.0 e interessa la funzionalità SCIM (System for Cross-domain Identity Management), introdotta a metà primavera 2025 e attualmente in anteprima pubblica.
Il problema si presenta in Grafana 12.x quando il provisioning SCIM è sia abilitato che configurato. Un client SCIM malevolo o compromesso può fornire un utente con un externalId numerico, potenzialmente sovrascrivendo gli ID utente interni e abilitando l’impersonificazione, anche di un account amministrativo, o l’escalation dei privilegi.
Lo sfruttamento richiede sia il flag di funzionalità abilitaSCIM che l’opzione user_sync_enabled nel blocco di configurazione per essere abilitati. [auth.scim] La vulnerabilità colpisce le versioni Enterprise di Grafana dalla 12.0.0 alla 12.2.1. Poiché Grafana mappa direttamente il SCIM externalId al suo
The vulnerability impacts Grafana Enterprise versions 12.0.0 through 12.2.1. Due to the fact that Grafana directly maps the SCIM externalId to its internal user.uid interno, i valori numerici possono essere interpretati erroneamente come ID utente esistenti. In casi specifici, ciò potrebbe causare che un nuovo utente creato venga trattato come un account interno con privilegi elevati. Grafana ha rilasciato immediatamente delle patch come misure urgenti di mitigazione del CVE-2025-41115. A causa della gravità della vulnerabilità, le organizzazioni sono fortemente incoraggiate ad aggiornare immediatamente per ridurre il rischio di attacchi. Affidati alla piattaforma SOC Prime che cura il più grande dataset di intelligence di rilevamento del mondo e contenuti di rilevamento costantemente aggiornati contro le minacce emergenti per rafforzare la postura di cybersecurity della tua organizzazione e prevenire gli attacchi informatici che contano di più.
