Un nouveau correctif de sécurité a été publié par Grafana Labs dans le but de patcher la CVE-2025-41115, une faille de sécurité critique présente dans le mécanisme SCIM de la solution Grafana Enterprise. Quels sont les risques ? Faisons le point.

Grafana Enterprise : CVE-2025-41115

La faille de sécurité CVE-2025-41115 se situe dans la fonctionnalité de provisioning SCIM de la solution Grafana Enterprise. Un attaquant peut tenter d’exploiter cette vulnérabilité pour élever ses privilèges : un nouvel utilisateur standard peut devenir administrateur ou simplement élever ses privilèges.

Pour que cette faille de sécurité puisse être exploitée, la fonctionnalité SCIM (System for Cross-domain Identity Management) doit être activée. Pour être plus précis, deux paramètres de configuration doivent être activés (valeur true) : et . Pour rappel, SCIM sert à provisionner et synchroniser automatiquement les utilisateurs et leurs attributs entre un fournisseur d’identité et des applications comme Grafana.

Le problème provient de la manière dont Grafana interprète l’attribut , utilisé par le fournisseur d’identité pour suivre les utilisateurs. En mappant directement cette valeur à l’identifiant interne , l’application pouvait considérer un numérique – par exemple – comme correspondant à un compte interne existant, y compris un administrateur.

“Dans certains cas spécifiques, cela pourrait permettre au nouvel utilisateur provisionné d’être traité comme un compte interne existant, tel que l’administrateur, ce qui pourrait entraîner une usurpation d’identité ou une élévation des privilèges.“, précise Grafana Labs.

Là où c’est rassurant, c’est que la fonctionnalité SCIM est encore en “Public Preview”, donc elle est encore peu adoptée.

Comment se protéger ?

Tout d’abord, sachez que seules les versions Grafana Enterprise 12.0.0 à 12.2.1, avec SCIM activé, sont vulnérables. Donc, les utilisateurs de Grafana OSS (les versions open source gratuites) ne sont pas concernés. Tandis que Grafana Cloud, Amazon Managed Grafana et Azure Managed Grafana ont déjà bénéficié des correctifs.

Le correctif pour cette vulnérabilité découverte le 4 novembre 2025 a été développé et testé en 24 heures, puis déployé sur Grafana Cloud avant la divulgation publique le 19 novembre. Si vous avez une instance auto-hébergée, vous devez déployer l’une de ces versions pour bénéficier du patch :

• Grafana Enterprise 12.3.0
• Grafana Enterprise 12.2.1
• Grafana Enterprise 12.1.3
• Grafana Enterprise 12.0.6

À défaut, désactiver SCIM permet aussi de réduire immédiatement les risques. Pour autant, l’installation du correctif est recommandée, comme le précise Grafana Labs : “Si votre instance est vulnérable, nous vous recommandons vivement de passer dès que possible à l’une des versions corrigées.“

Pour le moment, aucune exploitation n’a été détectée. Mieux vaut prévenir que guérir.

Source