SCIM プロビジョニングは、4 月に Grafana Enterprise および Grafana Cloud で導入されました。自動化されたユーザーライフサイクル管理を導入することで、組織が Grafana のユーザーとチームを管理する方法を改善できます。SCIM プロビジョニングが有効および構成されている Grafana バージョン 12.x では、ユーザー ID 処理の脆弱性により、悪意のある、または危険にさらされている SCIM クライアントが、数値の externalId でユーザーをプロビジョニングする可能性があります。これにより、内部ユーザー ID がオーバーライドされ、なりすましまたは権限を昇格させる可能性があります。この脆弱性は、次のすべての条件が満たされる場合にのみ適用されます。-「enableSCIM」機能フラグが true に設定されている。-「user_sync_enabled」構成オプションが true に設定されている。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Grafana Enterprise SCIM プロビジョニングの権限昇格 (CVE-2025-41115)

critical Nessus プラグイン ID 276746

バージョン 1.2