开源且高度灵活的图表数据展示系统Grafana，因其能够整合多种数据源，并具备实时仪表盘、数据分析和事件告警功能，已成为众多企业组织系统监控的重要工具。一旦出现严重漏洞，便会成为网络安全领域的关注焦点。

11月19日，Grafana发布企业版更新12.3、12.2.1、12.1.3和12.0.6版本，修复了CVSS风险评分为满分的重大漏洞CVE-2025-41115。该漏洞存在于跨域身份管理系统（System for Cross-domain Identity Management，SCIM）中，在特定配置环境下，攻击者可能利用该漏洞实现权限提升或冒充任意用户。

该漏洞主要影响启用了SCIM功能的企业版和云服务版（Grafana Cloud）用户。该问题最早于11月4日由Grafana在内部审计与测试过程中发现，当时发现SCIM在特定配置下可能导致用户ID被覆盖。经调查确认，漏洞源于用户标识的处理机制，攻击者可通过恶意或已被入侵的SCIM客户端，构造带有特定externalId的用户信息，从而覆盖内部用户ID，导致用户冒用或权限提升。

SCIM是Grafana自今年4月起引入的新功能，旨在实现用户生命周期的自动化管理，提升企业对Grafana用户和团队的管理效率。因此，该漏洞的影响范围可追溯至今年5月发布的Grafana企业版12.0.0版本。开源版本Grafana OSS不受影响。Grafana已对Grafana Cloud平台进行全面排查，确认未发现该漏洞被利用的迹象。

此前Grafana也曾修复过重大漏洞并发布安全预警。一年前，其曾公布CVE-2024-9264漏洞，该漏洞因对SQL表达式处理不当，导致命令注入和本地文件包含（Local File Inclusion，LFI）风险，CVSS风险评分高达9.9。