DevOps VietNam

Đăng nhập
Đăng ký
Đăng nhập

Lỗ hổng nghiêm trọng trong Grafana Enterprise

Grafana Labs vừa phát hành bản vá khẩn cấp cho một lỗ hổng nghiêm trọng với điểm CVSS tuyệt đối 10.0, cho phép kẻ tấn công có khả năng leo thang đặc quyền và chiếm quyền kiểm soát tài khoản quản trị viên trên các máy chủ Grafana Enterprise bị ảnh hưởng. Lỗ hổng này tác động đến cơ chế quản lý danh tính tự động, buộc các tổ chức đang sử dụng phải khẩn trương cập nhật hệ thống để tránh nguy cơ bị xâm nhập hoàn toàn.

019aa5af-c260-771c-887a-3ef75b57865c

Lỗ hổng được định danh là CVE-2025-41115 và nằm trong tính năng SCIM provisioning (System for Cross-domain Identity Management), vốn được Grafana tích hợp nhằm đơn giản hóa việc quản lý vòng đời người dùng. Các chuyên gia bảo mật nhận định, điểm cốt lõi của vấn đề nằm ở cách hệ thống xử lý ánh xạ ID người dùng. Cụ thể, nếu kẻ tấn công hoặc một SCIM client bị xâm nhập cố tình cấp phép người dùng với các numeric external IDs, những giá trị này có thể ghi đè lên internal user IDs của các tài khoản có đặc quyền cao hiện có, bao gồm cả tài khoản administrator. Việc này có thể dẫn đến việc mạo danh tài khoản hoàn toàn, cho phép kẻ xấu can thiệp sâu vào hệ thống giám sát và phân tích dữ liệu quan trọng của tổ chức.

Tuy nhiên, giới hạn khai thác của lỗ hổng này đã được xác định rõ: nó chỉ ảnh hưởng đến các phiên bản Grafana Enterprise từ 12.0.0 đến 12.2.1 và chỉ khi tính năng SCIM provisioning được bật và cấu hình với hai điều kiện đồng thời là enableSCIM feature flag phải được đặt là true, và tùy chọn user\_sync\_enabled trong khối auth.scim cũng phải được kích hoạt. Điều này có nghĩa là người dùng Grafana OSS hoặc các tổ chức không sử dụng tính năng này hoàn toàn không bị ảnh hưởng.

Grafana Labs đã chứng minh tính trách nhiệm khi nhanh chóng phát hiện lỗ hổng này trong quá trình kiểm tra nội bộ và đã phối hợp với các nhà cung cấp dịch vụ đám mây lớn (như Grafana Cloud, Amazon Managed Grafana, và Azure Managed Grafana) để vá lỗi trước khi công bố công khai. Công ty đã phát hành các phiên bản vá lỗi vào ngày 19 tháng 11 năm 2025, bao gồm Enterprise 12.3.0, 12.2.1, 12.1.3, và 12.0.6.

Các tổ chức đang sử dụng các phiên bản bị ảnh hưởng được khuyến nghị nâng cấp ngay lập tức lên một trong các bản vá để loại bỏ rủi ro. Đối với những đơn vị chưa thể cập nhật ngay, việc vô hiệu hóa SCIM provisioning hoặc tùy chọn user\_sync\_enabled có thể coi là biện pháp giảm thiểu rủi ro tạm thời hiệu quả. Đội ngũ an ninh cũng nên kiểm tra audit logs để tìm kiếm bất kỳ hoạt động cấp phép người dùng nào bất thường, nhất là liên quan đến các tài khoản quản trị viên.

Thông tin nổi bật

Sự kiện phát trực tiếp

Event Thumbnail

Sự kiện đang hiện hành

Bài viết nổi bật

Tin tức khác

Chia sẻ bài viết:
Theo dõi
Thông báo của
0 Góp ý
Được bỏ phiếu nhiều nhất
Mới nhất Cũ nhất
Phản hồi nội tuyến
Xem tất cả bình luận