Elastico ha implementato aggiornamenti di sicurezza per affrontare un difetto di sicurezza critico che influisce sul Kibana Software program Dashboard di visualizzazione dei dati per Elasticsearch Ciò potrebbe comportare l’esecuzione del codice arbitrario.
La vulnerabilità, monitorata come CVE-2025-25012porta un punteggio CVSS di 9,9 su un massimo di 10,0. È stato descritto come un caso di inquinamento prototipo.
“L’inquinamento del prototipo in kibana porta all’esecuzione del codice arbitrario tramite un caricamento di file realizzato e richieste HTTP specificamente elaborate”, la società disse In una consulenza pubblicata mercoledì.
Vulnerabilità dell’inquinamento prototipo è un Difetto di sicurezza Ciò consente agli aggressori di manipolare gli oggetti e le proprietà JavaScript di un’applicazione, portando potenzialmente all’accesso ai dati non autorizzato, all’escalation dei privilegi, alla negazione del servizio o all’esecuzione del codice remoto.
La vulnerabilità colpisce tutte le versioni di Kibana tra 8.15.0 e 8.17.3. È stato affrontato nella versione 8.17.3.
Detto questo, nelle versioni di Kibana da 8.15.0 e prima dell’8.17.1, la vulnerabilità è sfruttabile solo dagli utenti con il ruolo dello spettatore. Nelle versioni di Kibana 8.17.1 e 8.17.2, può essere sfruttato solo dagli utenti che hanno tutti i privilegi di seguito –
- flotta-tutto
- integrazioni-tutti
- Azioni: connettori di esecuzione
Si consiglia agli utenti di prendere provvedimenti per applicare le ultime correzioni per salvaguardare contro potenziali minacce. Nel caso in cui la patching immediata non sia un’opzione, gli utenti sono consigliati per impostare il flag Characteristic Assistant di integrazione su FALSE (“XPACK.INTEGRAZIONE_ASSISTANT.Nabled: FALSE”) Configurazione di Kibana (“kibana.yml”).
Nell’agosto 2024, Elastic ha affrontato un altro difetto di inquinamento del prototipo critico in Kibana (CVE-2024-37287Punteggio CVSS: 9.9) che potrebbe portare all’esecuzione del codice. Un mese dopo, si è risolto Due gravi bug di deserializzazione (CVE-2024-37288, punteggio CVSS: 9.9 e CVE-2024-37285, punteggio CVSS: 9.1) che potrebbe anche consentire l’esecuzione del codice arbitrario.
