SCIM 配置已于 4 月引入 Grafana Enterprise 和 Grafana Cloud 中，通过引入自动化用户生命周期管理，改进组织在 Grafana 中管理用户和团队的方式。在启用并配置 SCIM 配置的 Grafana 版本 12.x 中，用户身份处理漏洞允许恶意或遭破坏的 SCIM 客户端为用户配置数字 externalId，进而允许覆盖内部用户 ID 并导致冒充或权限升级。此漏洞仅在同时满足以下所有配置条件时存在： —“enableSCIM”功能标志设置为 true， — “[auth.scim]”块中的“user_sync_enabled”配置选项设置为 true。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Grafana Enterprise SCIM 配置权限提升（CVE-2025-41115）

critical Nessus 插件 ID 276746

版本 1.2

版本 1.1

版本 1.2 Dec 5, 2025, 1:34 PM IAVM reference STIG Severity (set to "I") Plugin Feed: 202512051334
版本 1.1 Nov 25, 2025, 6:58 PM New Plugin Feed: 202511251858