CVE-2025-25014(CVSS 9.1):Kibana的原型污染为代码执行打开了大门

阅读量25619

发布时间 : 2025-05-07 15:47:13

x
译文声明

本文是翻译文章,文章原作者 Ddos ,文章来源:securityonline

原文地址:https://securityonline.info/cve-2025-25014-cvss-9-1-prototype-pollution-in-kibana-opens-door-to-code-execution/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-43707 Kibana vulnerability Prototype pollution CVE-2025-25014

Elastic已经为Kibana发布了一份关键的安全公告,警告用户存在一个被追踪为CVE-2025-25014的漏洞。CVSS评分为9.1,此漏洞源于原型污染漏洞,该漏洞可能通过针对Kibana机器学习和报告端点的特制HTTP请求导致任意代码执行。

报告指出:Kibana中的原型污染漏洞会导致通过向机器学习和报告端点发出精心设计的HTTP请求来执行任意代码。

原型污染漏洞操纵底层JavaScript对象原型,允许攻击者注入可能覆盖应用程序逻辑的恶意属性。在这种情况下,它会升级到远程代码执行——这是通常委托敏感遥测和分析的监控环境的最坏情况。

该漏洞影响Kibana版本:

8.3.0至8.17.5
8.18.0
9.0.0

 

如果自托管和弹性云部署同时启用了机器学习和报告功能,则它们都容易受到攻击。

Elastic强烈建议用户立即升级到以下固定版本:

8.17.6
8.18.1
9.0.1

 

对于无法升级的用户,Elastic提供了两种缓解路径:

1. 禁用机器学习     a.添加以下内容:kibana.yml: xpack.ml.enabled: false  b.仅禁用异常检测:xpack.ml.ad.enabled: false

2. 禁用报告         Elastic强调禁用任一功能(ML 或 Reporting)足以在短期内缓解漏洞。

如果在受影响的版本中操作 Kibana 部署,请立即修补。在修补不可行的情况下,禁用机器学习或报告模块以阻止漏洞利用路径。

本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66