Grafana Labs, Kurumsal ürününde, yeni kullanıcılara yönetici muamelesi yapmak veya ayrıcalık yükseltme amacıyla kullanılabilecek maksimum önem derecesine sahip bir güvenlik açığı (CVE-2025-41115) konusunda uyarıda bulunuyor.
Sorun yalnızca SCIM (Etki Alanları Arası Kimlik Yönetimi Sistemi) sağlama etkinleştirildiğinde ve yapılandırıldığında kullanılabilir.
Spesifik olarak, hem ‘enableSCIM’ özellik bayrağı hem de ‘user_sync_enabled’ seçenekleri, kötü niyetli veya güvenliği ihlal edilmiş bir SCIM istemcisinin, yöneticiler de dahil olmak üzere dahili bir hesapla eşlenen sayısal bir harici kimlik ile bir kullanıcıya yetki vermesine izin vermek için doğru olarak ayarlanmalıdır.
Harici Kimlik, kimlik sağlayıcı tarafından kullanıcıları izlemek için kullanılan bir SCIM defter tutma özelliğidir.
Çünkü Grafana bu değeri doğrudan kendi iç değeriyle eşleştirdi. kullanıcı.uid\ “1\” gibi sayısal bir harici kimlik, kimliğe bürünmeye veya ayrıcalık yükseltmeye olanak tanıyan mevcut bir dahili hesap olarak yorumlanabilir.
Grafana’nın belgelerine göre, SCIM provizyonu şu anda ‘Genel Önizleme’ aşamasındadır ve sınırlı destek mevcuttur. Bu nedenle özelliğin benimsenmesi yaygın olmayabilir.
Grafana, yeni kurulan şirketlerden Fortune 500 şirketlerine kadar geniş bir yelpazedeki kuruluşlar tarafından metrikleri, günlükleri ve diğer operasyonel verileri kontrol panellerine, uyarılara ve analizlere dönüştürmek için kullanılan bir veri görselleştirme ve izleme platformudur.
“Belirli durumlarda bu, yeni temel hazırlığı yapılan kullanıcının Yönetici gibi mevcut bir dahili hesap olarak değerlendirilmesine olanak tanıyarak potansiyel kimliğe bürünme veya ayrıcalık artışına yol açabilir” – Grafana Labs
CVE-2025-41115, Grafana Enterprise’ın 12.0.0 ile 12.2.1 arasındaki sürümlerini (SCIM etkinleştirildiğinde) etkiler.
Grafana OSS kullanıcıları etkilenmezken Amazon Managed Grafana ve Azure Managed Grafana dahil Grafana Cloud hizmetleri yamaları zaten aldı.
Kendi kendine yönetilen kurulumların yöneticileri, aşağıdaki güncellemelerden birini uygulayarak riski giderebilir:
- Grafana Enterprise sürüm 12.3.0
- Grafana Enterprise sürüm 12.2.1
- Grafana Enterprise sürüm 12.1.3
- Grafana Enterprise sürüm 12.0.6
Grafana Labs, “Örneğiniz savunmasızsa, mümkün olan en kısa sürede yamalı sürümlerden birine yükseltme yapmanızı önemle tavsiye ederiz” diye uyarıyor.
Kusur, 4 Kasım’daki iç denetim sırasında keşfedildi ve yaklaşık 24 saat sonra bir güvenlik güncellemesi yayınlandı.
Bu süre zarfında Grafana Labs araştırdı ve kusurun Grafana Cloud’da kullanılmadığını belirledi.
Güvenlik güncellemesinin ve beraberindeki bültenin kamuya açıklanması 19 Kasım’da gerçekleşti.
Grafana kullanıcılarının mümkün olan en kısa sürede mevcut yamaları uygulamaları veya potansiyel istismar fırsatlarını kapatmak için yapılandırmayı değiştirmeleri (SCIM’yi devre dışı bırakmaları) önerilir.
Geçtiğimiz ay, GreyNoise, Grafana’daki eski bir yol geçiş kusurunu hedef alan alışılmadık derecede yüksek tarama etkinliği bildirdi; araştırmacıların daha önce belirttiği gibi, bu, yeni bir kusurun açığa çıkmasına hazırlık amacıyla açıkta kalan örneklerin haritalanması için kullanılabilir.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.