CRITICAL✓ PATCH🇬🇧 English

CVE-2025-25015

Prototype Pollution w Elastic Kibana umożliwia zdalne wykonanie kodu (RCE)

CVSS 9.9v3.1pub. 2025-03-05upd. 2025-10-02

Podatność typu prototype pollution w Elastic Kibana pozwala uwierzytelnionym użytkownikom na zdalne wykonanie dowolnego kodu (RCE). Krytyczna waga podatności (CVSS 9.9) wynika z faktu, że w wersjach przed 8.17.1 do jej wykorzystania wystarczają uprawnienia roli Viewer.

Pokaż oryginał (EN)

Prototype pollution in Kibana leads to arbitrary code execution via a crafted file upload and specifically crafted HTTP requests. In Kibana versions >= 8.15.0 and < 8.17.1, this is exploitable by users with the Viewer role. In Kibana versions 8.17.1 and 8.17.2 , this is only exploitable by users that have roles that contain all the following privileges: fleet-all, integrations-all, actions:execute-advanced-connectors

🤖 Analiza AI
Jak działa

Atakujący wykorzystuje mechanizm prototype pollution (CWE-1321), przesyłając specjalnie spreparowany plik oraz wysyłając odpowiednio skonstruowane żądania HTTP. Manipulacja prototypem obiektów JavaScript pozwala na wstrzyknięcie i wykonanie złośliwego kodu po stronie serwera. W wersjach Kibana >= 8.15.0 i < 8.17.1 exploit jest dostępny dla każdego użytkownika z rolą Viewer. W wersjach 8.17.1 i 8.17.2 podatność jest eksploitowalna wyłącznie przez użytkowników posiadających jednocześnie uprawnienia: fleet-all, integrations-all oraz actions:execute-advanced-connectors.

Skutki

Skuteczne wykorzystanie podatności umożliwia atakującemu zdalne wykonanie dowolnego kodu (RCE) w kontekście serwera Kibana, co może prowadzić do pełnego przejęcia systemu, wycieku danych oraz naruszenia integralności i dostępności środowiska.

Mitygacja

Należy zaktualizować Kibana do wersji 8.17.3 lub 8.16.6 zgodnie z informacjami opublikowanymi przez Elastic (ESA-2025-06). Szczegóły dostępne pod adresem: https://discuss.elastic.co/t/kibana-8-17-3-8-16-6-security-update-esa-2025-06/375441

Kogo dotyczy

Elastic Kibana w wersjach >= 8.15.0 i < 8.17.1 (eksploitowalne przez użytkowników z rolą Viewer) oraz wersje 8.17.1 i 8.17.2 (eksploitowalne przez użytkowników z uprawnieniami fleet-all, integrations-all, actions:execute-advanced-connectors).

Uwagi

Podatność opisana w biuletynie bezpieczeństwa Elastic jako ESA-2025-06. Wersje patcha wskazane przez producenta to 8.17.3 oraz 8.16.6.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Elastic Kibana

    APP
    Elastic
    8.15.0 – 8.16.6 (bez)8.17.0 – 8.17.3 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2019-7609CRITICAL10.0⚠ KEVten sam produkt

Kibana versions before 5.6.15 and 6.6.1 contain an arbitrary code execution flaw in the Timelion visualizer. A...

CVE-2025-25014CRITICAL9.1PL ✓ten sam produkt

Prototype Pollution w Kibana prowadzące do RCE przez HTTP

CVE-2024-37285CRITICAL9.1PL ✓ten sam produkt

RCE przez deserializację YAML w Elastic Kibana

CVE-2024-37288CRITICAL9.9PL ✓ten sam produkt

Deserializacja YAML w Kibana umożliwia zdalne wykonanie kodu (RCE)

CVE-2024-37287CRITICAL9.1PL ✓ten sam produkt

RCE w Kibana — prototype pollution przez ML i Alerting connector