CRITICAL✓ PATCH🇬🇧 English

CVE-2025-25014

Prototype Pollution w Kibana prowadzące do RCE przez HTTP

CVSS 9.1v3.1pub. 2025-05-06upd. 2025-10-02

Podatność typu prototype pollution w Elastic Kibana umożliwia nieautoryzowane wykonanie dowolnego kodu (RCE) poprzez spreparowane żądania HTTP skierowane do endpointów machine learning i raportowania. Podatność otrzymała ocenę CVSS 9.1 (CRITICAL), co czyni ją poważnym zagrożeniem dla środowisk korzystających z Kibana.

Pokaż oryginał (EN)

A Prototype pollution vulnerability in Kibana leads to arbitrary code execution via crafted HTTP requests to machine learning and reporting endpoints.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądania HTTP do endpointów machine learning lub raportowania w Kibana. Żądania te zawierają payload wykorzystujący mechanizm prototype pollution (CWE-1321), polegający na modyfikowaniu prototypów obiektów JavaScript w taki sposób, że właściwości dodane do bazowego obiektu są dziedziczone przez wszystkie inne obiekty w aplikacji. Umożliwia to przejęcie kontroli nad logiką aplikacji i w konsekwencji wykonanie dowolnego kodu po stronie serwera.

Skutki

Atakujący posiadający uprawnienia administracyjne może wykonać dowolny kod na serwerze hostującym Kibana, co prowadzi do pełnego przejęcia kontroli nad instancją, wycieku danych oraz potencjalnego lateral movement w obrębie infrastruktury.

Mitygacja

Należy zaktualizować Kibana do wersji 8.17.6, 8.18.1 lub 9.0.1 zgodnie z poradnikiem bezpieczeństwa producenta ESA-2025-07. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do endpointów machine learning i raportowania wyłącznie do zaufanych użytkowników oraz sieci.

Kogo dotyczy

Elastic Kibana — wersje wskazane w referencjach producenta; zgodnie z referencjami poprawki zostały wydane w wersjach 8.17.6, 8.18.1 oraz 9.0.1, co sugeruje podatność wcześniejszych wydań tych gałęzi

Uwagi

Podatność wymaga posiadania uprawnień o wysokim poziomie (PR:H według wektora CVSS), co nieznacznie ogranicza powierzchnię ataku, jednak zakres skutków obejmuje inne systemy (S:C — zmiana zakresu), co uzasadnia krytyczną ocenę CVSS 9.1.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Elastic Kibana

    APP
    Elastic
    8.18.09.0.08.3.0 – 8.17.6 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2019-7609CRITICAL10.0⚠ KEVten sam produkt

Kibana versions before 5.6.15 and 6.6.1 contain an arbitrary code execution flaw in the Timelion visualizer. A...

CVE-2025-25015CRITICAL9.9PL ✓ten sam produkt

Prototype Pollution w Elastic Kibana umożliwia zdalne wykonanie kodu (RCE)

CVE-2024-37285CRITICAL9.1PL ✓ten sam produkt

RCE przez deserializację YAML w Elastic Kibana

CVE-2024-37288CRITICAL9.9PL ✓ten sam produkt

Deserializacja YAML w Kibana umożliwia zdalne wykonanie kodu (RCE)

CVE-2024-37287CRITICAL9.1PL ✓ten sam produkt

RCE w Kibana — prototype pollution przez ML i Alerting connector