Se ha descubierto una vulnerabilidad de severidad crítica en productos Grafana. Un actor malicioso podría permitir la elevación de privilegios o la suplantación de usuarios en los sistemas afectados bajo ciertas configuraciones.
Productos afectados
- Grafana Enterprise: versiones desde 12.0.0 hasta 12.2.1 (todas las subversiones anteriores a 12.0.6, 12.1.3, 12.2.1 y 12.3.0)
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-41115: con una puntuación de 10.0 en CVSS v3.1. Existe una vulnerabilidad en la función SCIM (System for Cross-domain Identity Management) de Grafana Enterprise. Un actor malicioso podría permitir la elevación de privilegios o la suplantación remota de usuarios, potencialmente sin interacción del usuario, cuando ciertas opciones de configuración están habilitadas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-41115
- https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/