Uma falha crítica no Grafana Enterprise, identificada como CVE-2025-41115, está permitindo que agentes maliciosos criem contas com privilégios administrativos sem a devida autorização, explorando o mecanismo de provisionamento SCIM (System for Cross Domain Identity Management). A vulnerabilidade recebeu a pontuação máxima na escala CVSS, com nota 10.0. O problema afeta versões do Grafana Enterprise entre 12.0.0 e 12.2.1, quando determinadas configurações específicas de SCIM estão ativadas.
Nessas condições, um invasor pode manipular a criação de usuários para assumir a identidade de contas já existentes, inclusive administradores, com total controle sobre a plataforma. A exploração ocorre quando o sistema SCIM interpreta de forma incorreta identificadores externos fornecidos em requisições. Isso permite que contas falsas sejam associadas a perfis legítimos, resultando em acesso não autorizado a recursos críticos e permissões elevadas dentro do ambiente monitorado. A Grafana Labs disponibilizou atualizações de segurança nas versões 12.0.6 com atualização de segurança, 12.1.3 com atualização de segurança, 12.2.1 com atualização de segurança e na nova versão 12.3.0. Instâncias do Grafana Cloud e ambientes gerenciados por provedores como Amazon e Azure já foram corrigidos previamente.
Administradores que ainda não aplicaram o patch devem fazê-lo com urgência. Caso a atualização imediata não seja possível, recomenda-se desabilitar temporariamente o SCIM ou restringir o acesso a essa interface. O monitoramento dos registros de auditoria também é indicado para identificar atividades suspeitas de provisionamento. Essa falha representa um risco elevado, especialmente porque o Grafana é amplamente utilizado em ambientes corporativos para observabilidade, monitoramento de aplicações e segurança. Um atacante com acesso administrativo à ferramenta pode visualizar, alterar ou manipular dados sensíveis, bem como movimentar-se lateralmente na infraestrutura da organização.
