【要点】

◎GrafanaのSCIM機能にID上書き可能な致命的脆弱性が判明。CVSS10.0。修正版12.2.2などが公開され、12.3.0は影響なし。

【要約】

Grafana Labsの可視化ツール「Grafana」で、SCIMプロビジョニング機能に深刻な脆弱性「CVE-2025-41115」が発見された。ユーザーID処理に問題があり、細工したSCIMアカウントを用いることでIDの上書きが可能となり、なりすましや権限昇格が発生する恐れがある。CVSSスコアは10.0で重要度はクリティカル。Grafanaは11月19日に修正版である12.2.2、12.1.4、12.0.7、1.9.2系ビルドを公開し、12.3.0は脆弱性の影響を受けないと説明している。

【ニュース】

◆「Grafana」にクリティカル脆弱性 - なりすましや権限昇格のおそれ (Security NEXT, 2025/11/25)
https://www.security-next.com/177539