Grafana Labs, SCIM sağlama özelliğindeki, saldırganların ayrıcalıkları yükseltmesine veya kullanıcıların kimliğine bürünmesine olanak tanıyan ciddi bir güvenlik açığını gideren kritik güvenlik yamaları yayınladı.
CVSS puanı 10,0 (Kritik) ile CVE-2025-41115 olarak takip edilen kusur, belirli yapılandırmalar altında Grafana Enterprise’ın 12.0.0 ila 12.2.1 arasındaki sürümlerini etkiliyor.
Etkilenen sürümleri kullanan kuruluşların derhal yamalı bir sürüme güncellenmesi gerekir.
Güvenlik açığı, Grafana’nın otomatik kullanıcı yaşam döngüsü yönetimini basitleştirmek için Nisan 2025’te kullanıma sunduğu Etki Alanları Arası Kimlik Yönetimi Sistemi (SCIM) sağlama işlevinde mevcut.
| CVE Kimliği | Güvenlik Açığı Türü | CVSS Puanı | Etkilenen Sürümler |
|---|---|---|---|
| CVE-2025-41115 | Yanlış Ayrıcalık Ataması (SCIM Sağlama) | 10.0 Kritik | Kurumsal 12.0.0 – 12.2.1 |
Sistemin kullanıcı kimlik eşlemesini işleme biçimindeki kritik bir kusur, kötü niyetli veya güvenliği ihlal edilmiş bir SCIM istemcisinin kullanıcılara sayısal harici kimlikler sağlamasına olanak tanır.
Bu sayısal değerler, dahili kullanıcı kimliklerini geçersiz kılabilir ve potansiyel olarak saldırganların, yönetici hesapları da dahil olmak üzere mevcut ayrıcalıklı hesaplara erişmesine olanak tanır.
Güvenlik Açığı Kapsamı ve Gereksinimler
Güvenlik açığı yalnızca SCIM sağlamanın etkinleştirildiği ve belirli ayarlarla yapılandırıldığı Grafana ortamlarını etkiler.
Yararlanma iki koşulun aynı anda karşılanmasını gerektirir: EnableSCIM özellik bayrağı true olarak ayarlanmalıdır ve auth.scim bloğundaki user_sync_enabled yapılandırma seçeneği de etkinleştirilmelidir.
Bu hedeflenen kapsam, SCIM provizyonu etkin olmayan kuruluşların bu kusur nedeniyle herhangi bir riskle karşılaşmadığı anlamına gelir. Ayrıca Grafana OSS kullanıcıları bu güvenlik açığından tamamen etkilenmez.
Bu koşullar mevcut olduğunda sistem, SCIM harici kimliklerini doğrudan dahili kullanıcı UID’lerine eşler.
Bu kusurdan yararlanan bir saldırgan, mevcut bir yönetici hesabıyla eşleşen sayısal bir harici kimliğe sahip bir kullanıcı oluşturabilir ve uygun yetkilendirme olmadan etkili bir şekilde yönetici ayrıcalıkları elde edebilir. Bazı senaryolarda bu, hesabın tamamen taklit edilmesine neden olabilir.
Grafana Labs, 19 Kasım 2025’te yamalı sürümleri yayınladı: Enterprise 12.3.0, 12.2.1, 12.1.3 ve 12.0.6’nın tümü, bu kritik kusura yönelik güvenlik düzeltmeleri içeriyor.
Şirket, bu yamalı sürümlerden birine hemen yükseltme yapmanızı şiddetle tavsiye ediyor. Grafana Cloud müşterileri, kamuya açıklanmadan önce tüm yönetilen bulut örneklerine yamalar uygulandığından halihazırda koruma alıyor.
Amazon Managed Grafana ve Azure Managed Grafana, tekliflerinin güvenli olduğunu doğruladı.
Şirket, bu güvenlik açığını iç güvenlik testleri sırasında keşfetti ve hemen düzeltme üzerinde çalışmaya başladı.
Bu kusurun yama yapılmadan önce Grafana Cloud ortamlarında istismar edildiğine dair hiçbir kanıt yok. Grafana Labs, ambargo altındaki tüm bulut sağlayıcılarıyla erken bildirimi koordine ederek düzeltmelerin kamuya duyurulmadan önce hızlı bir şekilde dağıtılmasını sağladı.
Keşiften kamuya açık yama sürümüne kadar olan tüm olay, Grafana’nın sorumlu açıklama yaklaşımını ortaya koyarak yaklaşık 15 gün sürdü.
Kuruluşlar, etkilenen örneklerin yükseltilmesine ve SCIM sağlama yapılandırmalarının yeterince güvenli olduğunu doğrulamaya öncelik vermelidir.
Hemen güncelleme yapamayanlar için, SCIM sağlamanın veya user_sync_enabled ayarının devre dışı bırakılması, yamalar dağıtılana kadar geçici bir azaltma sağlar.
Kötüye kullanımdan şüphelenen kuruluşlar, şüpheli kullanıcı yetkilendirme faaliyetleri için denetim günlüklerini incelemeli ve beklenmedik yönetici hesabı erişimini kontrol etmelidir.
Güvenlik ekipleri ek rehberlik için Grafana’nın resmi blogunu izlemeli ve yama sırasında hizmet kesintisini en aza indirmek için güncellemeleri BT altyapı ekipleriyle koordine etmelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak olarak ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.