Podatność typu prototype pollution w Elastic Kibana umożliwia nieautoryzowane wykonanie dowolnego kodu (RCE) poprzez spreparowane żądania HTTP skierowane do endpointów machine learning i raportowania. Podatność otrzymała ocenę CVSS 9.1 (CRITICAL), co czyni ją poważnym zagrożeniem dla środowisk korzystających z Kibana.
▸ Pokaż oryginał (EN)
A Prototype pollution vulnerability in Kibana leads to arbitrary code execution via crafted HTTP requests to machine learning and reporting endpoints.
Atakujący wysyła spreparowane żądania HTTP do endpointów machine learning lub raportowania w Kibana. Żądania te zawierają payload wykorzystujący mechanizm prototype pollution (CWE-1321), polegający na modyfikowaniu prototypów obiektów JavaScript w taki sposób, że właściwości dodane do bazowego obiektu są dziedziczone przez wszystkie inne obiekty w aplikacji. Umożliwia to przejęcie kontroli nad logiką aplikacji i w konsekwencji wykonanie dowolnego kodu po stronie serwera.
Atakujący posiadający uprawnienia administracyjne może wykonać dowolny kod na serwerze hostującym Kibana, co prowadzi do pełnego przejęcia kontroli nad instancją, wycieku danych oraz potencjalnego lateral movement w obrębie infrastruktury.
Należy zaktualizować Kibana do wersji 8.17.6, 8.18.1 lub 9.0.1 zgodnie z poradnikiem bezpieczeństwa producenta ESA-2025-07. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do endpointów machine learning i raportowania wyłącznie do zaufanych użytkowników oraz sieci.
Elastic Kibana — wersje wskazane w referencjach producenta; zgodnie z referencjami poprawki zostały wydane w wersjach 8.17.6, 8.18.1 oraz 9.0.1, co sugeruje podatność wcześniejszych wydań tych gałęzi
Podatność wymaga posiadania uprawnień o wysokim poziomie (PR:H według wektora CVSS), co nieznacznie ogranicza powierzchnię ataku, jednak zakres skutków obejmuje inne systemy (S:C — zmiana zakresu), co uzasadnia krytyczną ocenę CVSS 9.1.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HElastic Kibana
APPElastic8.18.09.0.08.3.0 – 8.17.6 (bez)
Powiązane podatności
Kibana versions before 5.6.15 and 6.6.1 contain an arbitrary code execution flaw in the Timelion visualizer. A...
Prototype Pollution w Elastic Kibana umożliwia zdalne wykonanie kodu (RCE)
RCE przez deserializację YAML w Elastic Kibana
Deserializacja YAML w Kibana umożliwia zdalne wykonanie kodu (RCE)
RCE w Kibana — prototype pollution przez ML i Alerting connector