ATLA WIRE

Grafana исправляет уязвимость SCIM с CVSS 10.0, позволяющую выдавать себя за пользователя и повышать привилегии

24.11.2025
10801
Grafana исправляет уязвимость SCIM с CVSS 10.0, позволяющую выдавать себя за пользователя и повышать привилегии
Grafana исправляет уязвимость SCIM с CVSS 10.0, которая позволяла выдавать себя за пользователя и повышать привилегии в версиях 12.x.

🚨 КРИТИЧЕСКОЕ ПРЕДУПРЕЖДЕНИЕ: Grafana только что исправила уязвимость SCIM с CVSS 10.0

Всем лучше прислушаться — Grafana выпустила масштабный патч для уязвимости SCIM, которая буквально настолько плоха, насколько это возможно. Мы говорим о критической уязвимости CVSS 10.0, о такой уязвимости, которая позволяет злоумышленникам выдавать себя за пользователей и повышать привилегии, как будто они владеют местом.
Это не какая-то теоретическая угроза — это территория активной эксплуатации. Если вы используете версии Grafana 12.x, вы уязвимы. Уязвимость специально нацелена на реализацию SCIM (System for Cross-domain Identity Management), которая должна управлять пользовательскими идентичностями, но раздавала административный доступ, как бесплатные образцы.
Article image 1
Уязвимость позволяет полностью выдавать себя за пользователя — это означает, что злоумышленники могут буквально стать любым пользователем в вашей системе. Как только они внутри, повышение привилегий дает им доступ на уровне администратора ко всему вашему экземпляру Grafana. Мы говорим о полном контроле над панелями мониторинга, источниками данных и, возможно, всей вашей инфраструктурой мониторинга.
Grafana подтвердила, что патч доступен немедленно для всех затронутых версий 12.x. Если вы еще не обновились, вы играете с огнем. Это не та уязвимость, которую вы можете позволить себе исправить 'позже' — это та, из-за которой ваша вся инфраструктура может быть захвачена.
  • Оценка CVSS: 10.0/10.0 — Максимальная серьезность
  • Затронутые версии: Все выпуски Grafana 12.x
  • Тип уязвимости: Ошибка реализации SCIM
  • Влияние: Выдача себя за пользователя и повышение привилегий
  • Статус: Патч доступен немедленно
Командам безопасности необходимо рассматривать это как патч высшего приоритета. Сочетание выдачи себя за пользователя и повышения привилегий означает, что злоумышленники могут полностью обойти ваши системы аутентификации и получить административный контроль. Это не просто утечка данных — это уязвимость полного захвата системы.
Патч устраняет уязвимости конечных точек SCIM, которые позволяли несанкционированный доступ и манипуляцию привилегиями. Команда безопасности Grafana работала сверхурочно, чтобы выпустить это исправление, и они настоятельно призывают всех пользователей обновиться немедленно.
#административный доступ#выдача себя за пользователя#кибербезопасность#патчи безопасности#уязвимости CVE
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
Banner | ATLA WIRE
ATLA WIRE