Grafana Labs đã công bố một lỗ hổng CVE bảo mật nghiêm trọng, định danh là CVE-2025-41115, ảnh hưởng đến các phiên bản Grafana Enterprise được cấu hình cụ thể. Lỗ hổng này tiềm ẩn khả năng cho phép kẻ tấn công leo thang đặc quyền và mạo danh người dùng hiện có, bao gồm cả tài khoản quản trị viên, dẫn đến những rủi ro an ninh nghiêm trọng đối với dữ liệu và hoạt động hệ thống.
Tổng quan về CVE-2025-41115 và đánh giá CVSS
Lỗ hổng bảo mật này, được theo dõi với mã định danh CVE-2025-41115, đã nhận được điểm CVSS tối đa 10.0. Điểm số này xếp nó vào nhóm các lỗ hổng nghiêm trọng nhất được phát hiện gần đây, cho thấy mức độ rủi ro cực kỳ cao. Khả năng khai thác dễ dàng và tác động nghiêm trọng đến bảo mật, tính toàn vẹn cũng như tính sẵn sàng của hệ thống là những yếu tố chính dẫn đến đánh giá này.
Cụ thể, CVE-2025-41115 ảnh hưởng đến các phiên bản Grafana Enterprise từ 12.0.0 đến 12.2.1. Điều quan trọng cần lưu ý là không phải tất cả các cài đặt Grafana Enterprise đều bị ảnh hưởng; lỗ hổng chỉ tồn tại khi một số điều kiện cấu hình nhất định được thiết lập.
Cơ chế khai thác và tác động kỹ thuật của lỗ hổng CVE
Điểm yếu cốt lõi của lỗ hổng CVE-2025-41115 nằm trong tính năng thiết lập SCIM (System for Cross-domain Identity Management) của Grafana. SCIM là một giao thức chuẩn mở được thiết kế để tự động hóa việc trao đổi thông tin định danh người dùng giữa các hệ thống. Trong Grafana Enterprise, tính năng này được giới thiệu vào tháng 4 năm 2025 để đơn giản hóa việc quản lý vòng đời người dùng trong các tổ chức lớn.
Theo phân tích của Grafana Labs, lỗ hổng bắt nguồn từ việc xử lý không chính xác các định danh người dùng (user identities) bởi máy chủ SCIM của Grafana. Cụ thể hơn, một máy khách SCIM độc hại hoặc đã bị xâm nhập có thể cung cấp (provision) một người dùng mới với một giá trị externalId được định dạng bằng số. Giá trị externalId này sau đó có thể được xử lý sai, cho phép nó ghi đè lên các ID người dùng nội bộ hiện có trong Grafana.
Kịch bản khai thác thành công cho phép kẻ tấn công mạo danh bất kỳ người dùng hiện có nào trong hệ thống, bao gồm cả những tài khoản có đặc quyền cao như quản trị viên. Việc mạo danh quản trị viên có thể dẫn đến chiếm quyền điều khiển hệ thống hoàn toàn, truy cập trái phép vào dữ liệu nhạy cảm, thay đổi cấu hình hệ thống, hoặc thậm chí là triển khai các cuộc tấn công tiếp theo.
Điều kiện kích hoạt và nhận diện hệ thống bị ảnh hưởng bởi lỗ hổng CVE
Lỗ hổng CVE-2025-41115 không ảnh hưởng đến tất cả các cài đặt Grafana Enterprise. Để lỗ hổng này có thể bị khai thác, hệ thống Grafana Enterprise phải đáp ứng đồng thời hai điều kiện cấu hình cụ thể:
- Cờ tính năng
enableSCIMphải được đặt thànhtrue. - Tùy chọn cấu hình
user_sync_enabledphải được đặt thànhtrue.
Các điều kiện này chỉ ra rằng lỗ hổng chỉ xuất hiện khi tính năng SCIM được kích hoạt và cấu hình để đồng bộ hóa người dùng. Điều này có nghĩa là các triển khai Grafana Enterprise không sử dụng hoặc không kích hoạt tính năng SCIM sẽ an toàn trước lỗ hổng CVE này. Quan trọng hơn, lỗ hổng này hoàn toàn không tác động đến người dùng phiên bản Grafana OSS (Open Source Software), chỉ giới hạn trong môi trường Enterprise.
Để kiểm tra cấu hình trên hệ thống của bạn, các quản trị viên có thể xem xét file cấu hình Grafana (thường là grafana.ini hoặc thông qua cấu hình môi trường). Một cấu hình có thể bị ảnh hưởng sẽ có các dòng tương tự như sau:
# Ví dụ cấu hình Grafana trong grafana.ini
[feature_flags]
enableSCIM = true
[scim]
user_sync_enabled = true
# Các phần cấu hình khác...
Việc rà soát các cấu hình này là bước đầu tiên để xác định mức độ rủi ro và ưu tiên hành động khắc phục cho lỗ hổng CVE-2025-41115.
Các biện pháp khắc phục và khuyến nghị cập nhật bản vá bảo mật
Grafana Labs đã chủ động phát hiện lỗ hổng CVE này trong quá trình kiểm toán an ninh nội bộ nghiêm ngặt vào ngày 4 tháng 11 năm 2025. Ngay sau khi phát hiện, công ty đã nhanh chóng công bố một sự cố nội bộ để đánh giá và phát triển các giải pháp khắc phục.
Một điểm tích cực là Grafana Labs đã xác nhận rằng không có hoạt động khai thác nào xảy ra trong các môi trường Grafana Cloud của họ. Điều này cho thấy khả năng phát hiện sớm và phản ứng nhanh chóng từ phía nhà cung cấp. Công ty cũng đã phát hành các bản vá bảo mật cần thiết trong vòng vài ngày kể từ khi lỗ hổng được phát hiện.
Các tổ chức đang vận hành các phiên bản Grafana Enterprise bị ảnh hưởng (từ 12.0.0 đến 12.2.1) được khuyến nghị mạnh mẽ phải nâng cấp ngay lập tức lên các phiên bản đã được vá lỗi. Hành động này là cực kỳ quan trọng để bảo vệ hệ thống khỏi nguy cơ bị chiếm quyền điều khiển và các cuộc tấn công tiềm tàng.
Các phiên bản Grafana Enterprise đã được vá lỗi bao gồm:
- Grafana Enterprise 12.3.0
- Grafana Enterprise 12.2.1
- Grafana Enterprise 12.1.3
- Grafana Enterprise 12.0.6
Đối với khách hàng của Grafana Cloud và những người dùng dịch vụ được quản lý trên nền tảng Amazon và Azure, các cập nhật bảo mật đã được áp dụng tự động. Điều này giúp giảm thiểu đáng kể gánh nặng quản lý cho các tổ chức sử dụng dịch vụ này.
Để biết thêm thông tin chi tiết về lỗ hổng CVE-2025-41115 và các hướng dẫn nâng cấp cụ thể, các quản trị viên nên tham khảo thông báo chính thức từ Grafana Labs: Grafana Enterprise Security Update: Critical Severity Security Fix for CVE-2025-41115. Việc tuân thủ các khuyến nghị này là cần thiết để duy trì an toàn thông tin cho hệ thống của bạn.
