CVE-2025-41115: Grafana SCIM 구성 요소의 최대 심각도 권한 상승 취약점
11월 초 Android System 구성 요소에서 발생한 치명적인 원격 코드 실행 문제 CVE-2025-48593의 공개에 이어, 사이버 위협 환경에서는 또 다른 최대 심각도의 취약점이 주목을 받고 있습니다. 신속하게 발견된 Grafana 결함, CVE-2025-41115로 추적되는 이 문제는 권한 상승 또는 특정 설정에서 사용자 가장을 가능하게 할 수 있습니다.
지난 5년 동안 대중적으로 사용된 오픈 소스 분석 플랫폼인 Grafana는 공격적인 목적으로 악용되어 전 세계 사용자들에게 위협을 안겨주었습니다. 예를 들어, 2025년 6월 중순, 연구자들은 Grafana에서 XSS 취약점을 발견했습니다. CVE-2025-4123은(는) 적들이 악성 플러그인을 실행하고 사용자 계정을 탈취할 수 있도록 하는 취약점으로, 향상된 권한이 필요 없이 공격이 가능하게 합니다.
이러한 취약점들은 오픈 소스 생태계에 영향을 미치는 보안 문제의 증가하는 양을 나타냅니다. 2025년 오픈 소스 보안 및 위험 분석(OSSRA) 보고서에 따르면 검토된 애플리케이션의 86% 이 취약한 오픈 소스 구성 요소를 포함하고 있으며, 81%는 높은 또는 치명적인 등급의 결함을 포함하고 있습니다. 이러한 트렌드는 공격자들이 더 큰 피해를 주기 전에 신속히 탐지하고 대응할 필요성을 다시 한 번 일깨워 줍니다.
SOC Prime 플랫폼에 지금 등록하십시오이는 실시간 방어자들을 위해 만들어진 업계 최고의 벤더 독립 제품군으로, 보안 팀이 공격자보다 앞서나갈 수 있도록 선별된 탐지 콘텐츠와 AI 기반 위협 인텔리전스를 찾을 수 있습니다. 클릭하십시오 탐지 방법 확인 을 통해 ‘CVE’와 같은 커스텀 태그로 필터링된 취약점 악용 탐지용 맥락이 풍부한 SOC 콘텐츠에 접근하십시오.
탐지 알고리즘은 광범위하게 채택된 여러 SIEM, EDR, 데이터 레이크 솔루션에서 적용될 수 있으며 MITRE ATT&CK® 프레임워크와 일치합니다. 추가적으로, 각 규칙은 AI 기반 위협 인텔과 함께 링크, 공격 타임라인, 감사 구성, 트리아지 권장사항, 기타 심층 메타데이터로 강화됩니다. CTI 링크, 공격 타임라인, 감사 구성, 트리아지 권장 사항 및 기타 심층 메타데이터를 포함합니다.
보안 팀은 또한 Uncoder AI 를 이용하여 IOC를 즉시 커스텀 헌팅 쿼리로 변환하고, 원시 위협 보고서로부터 탐지 코드를 생성하며, Attack Flow 다이어그램을 시각화하고, ATT&CK 태그 예측을 활성화하며, 탐지 콘텐츠를 여러 형식으로 번역하는 등 다양한 탐지 엔지니어링 업무를 종단간 수행할 수 있습니다.
CVE-2025-41115 분석
Grafana 는 최근 Grafana Enterprise 12.3의 업데이트된 빌드를 출시했으며, 새로 발견된 최대 심각도의 취약점(CVE-2025-41115)을 해결하기 위해 12.2.1, 12.1.3, 12.0.6을 포함한 갱신된 버전도 함께 제공되었습니다. 이 문제는 2025년 11월 4일 내부 감사 중에 발견되었습니다. 결함의 CVSS 점수는 가능한 최고 점수인 10.0이며, 2025년 중반에 도입되어 현재 공개 미리보기 상태인 SCIM(교차 도메인 아이덴티티 관리 시스템) 기능에 영향을 미칩니다.
이 문제는 Grafana 12.x에서 SCIM 프로비저닝이 활성화되고 구성된 경우에 발생합니다. 악의적인 또는 손상된 SCIM 클라이언트는 숫자 externalId 를 가진 사용자를 프로비저닝할 수 있으며, 이는 내부 사용자 ID를 덮어쓰고 관리자 계정을 포함한 사용자 가장 또는 권한 상승을 가능하게 만들 수 있습니다 악용하려면 enableSCIM 기능 플래그와 user_sync_enabled 옵션이 [auth.scim] 구성 블록에서 모두 활성화되어 있어야 합니다.
이 취약점은 Grafana Enterprise 12.0.0부터 12.2.1까지의 버전에 영향을 미칩니다. Grafana가 SCIM externalId를 내부 user.uid에 직접 매핑하기 때문에, 숫자 값이 기존 사용자 ID로 잘못 해석될 수 있습니다. 특정 상황에서는 새로 생성된 사용자가 내부 계정으로 처리되어 높은 권한을 가질 수 있습니다. Grafana는 긴급한 CVE-2025-41115 완화 조치로 즉시 패치를 발표했습니다. 취약점의 심각성을 고려하여, 조직은 공격 위험을 줄이기 위해 가능한 한 빨리 업데이트할 것이 강력히 권장됩니다. 조직의 사이버 보안 태세를 강화하고 가장 중요한 위협을 사전에 차단하기 위해, 세계 최대 규모의 탐지 인텔리전스 데이터세트와 지속적으로 업데이트되는 탐지 콘텐츠를 제공하는 SOC Prime Platform을 활용하십시오.
