速修复Kibana 中严重的RCE漏洞

发布于2025年3月8日2025年7月19日作者:cve-20

速修复Kibana 中严重的RCE漏洞

Ravie Lakshmanan 代码卫士 2025-03-07 18:06

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Elastic 公司发布安全更新，修复影响用于Elasticsearch 的Kibana 数据可视化仪表盘软件中的一个严重的原型污染漏洞，它可导致任意代码执行后果，编号是CVE-2025-25012，CVSS评分为9.9。

Elastic 公司在安全公告中提到，“Kibana 中的原型污染漏洞可通过特殊构造的文件上传漏洞和特殊构造的HTTP请求，实现任意代码执行。”原型污染漏洞可使攻击者操纵应用的 JavaScript 对象和属性，可能导致越权数据访问、提权、拒绝服务或远程代码执行后果。

该漏洞影响Kibana 8.15.0和8.17.3之间的所有版本，已在8.17.3版本中修复。从Kibana 8.15.0到8.17.1的版本，仅具有Viewer 角色的用户能够利用该漏洞，而在Kibana 8.17.1和8.17.2版本中，仅具有fleet-all、integrations-all或 actions:execute-advanced-connectors 的用户能够利用该漏洞。

建议用户采取相关措施应用最新修复方案，抵御潜在威胁。如无法立即应用补丁，则建议用户在 Kibana 的配置 (“kibana.yml”) 将 Integration Assistant 特性标记为 false (“xpack.integration_assistant.enabled: false”)。

2024年8月，Elastic 修复了Kibana 中的另外一个严重的原型污染漏洞（CVE-2024-37287，CVSS评分9.9），可导致代码执行后果。一个月后，它修复了两个严重的反序列化漏洞（CVE-2024-37288，CVSS评分9.9和CVE-2024-37285，CVSS评分9.1），它们也可导致任意代码执行后果。

代码卫士试用地址：
https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

MITRE Caldera所有版本皆存在满分RCE漏洞

MongoDB库中存在多个漏洞，可用于在Node.js服务器上实现RCE

Apache Ignite 严重漏洞可导致RCE

WGS-804HPT 交换机中存在多个严重漏洞，可导致RCE和网络利用

SimpleHelp 多个严重漏洞可导致文件窃取、提权和RCE攻击

原文链接

https://thehackernews.com/2025/03/elastic-releases-urgent-fix-for.html

题图：
Pixabay
License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。