Elastic已经为Kibana发布了一份关键的安全公告,警告用户存在一个被追踪为CVE-2025-25014的漏洞。CVSS评分为9.1,此漏洞源于原型污染漏洞,该漏洞可能通过针对Kibana机器学习和报告端点的特制HTTP请求导致任意代码执行。
报告指出:Kibana中的原型污染漏洞会导致通过向机器学习和报告端点发出精心设计的HTTP请求来执行任意代码。
原型污染漏洞操纵底层JavaScript对象原型,允许攻击者注入可能覆盖应用程序逻辑的恶意属性。在这种情况下,它会升级到远程代码执行——这是通常委托敏感遥测和分析的监控环境的最坏情况。
该漏洞影响Kibana版本:
8.3.0至8.17.5
8.18.0
9.0.0
如果自托管和弹性云部署同时启用了机器学习和报告功能,则它们都容易受到攻击。
Elastic强烈建议用户立即升级到以下固定版本:
8.17.6
8.18.1
9.0.1
对于无法升级的用户,Elastic提供了两种缓解路径:
1. 禁用机器学习 a.添加以下内容:kibana.yml
: xpack.ml.enabled: false b.或仅禁用异常检测:xpack.ml.ad.enabled: false
2. 禁用报告 Elastic强调禁用任一功能(ML 或 Reporting)足以在短期内缓解漏洞。
如果在受影响的版本中操作 Kibana 部署,请立即修补。在修补不可行的情况下,禁用机器学习或报告模块以阻止漏洞利用路径。
发表评论
您还未登录,请先登录。
登录