Elastik kritik bir güvenlik kusurunu ele almak için güvenlik güncellemeleri yayınladı. Kibana için veri görselleştirme gösterge paneli yazılımı Elasticsearch Bu, keyfi kod yürütülmesine neden olabilir.
Güvenlik açığı, CVE-2025-25012maksimum 10.0 üzerinden 9,9 CVSS skoru taşır. Prototip kirliliği olgusu olarak tanımlanmıştır.
“Kibana’daki prototip kirliliği, hazırlanmış bir dosya yüklemesi ve özellikle hazırlanmış HTTP istekleri yoluyla keyfi kod uygulamasına yol açar,” söz konusu Çarşamba günü yayınlanan bir danışmanlıkta.
Prototip Kirlilik Güvenlik Açığı bir güvenlik kusuru Bu, saldırganların bir uygulamanın JavaScript nesnelerini ve özelliklerini manipüle etmesini sağlar, bu da potansiyel olarak yetkisiz veri erişimine, ayrıcalık artışına, hizmet reddine veya uzaktan kod yürütmesine yol açar.
Güvenlik açığı, Kibana’nın tüm sürümlerini 8.15.0 ve 8.17.3 arasında etkiler. 8.17.3 sürümünde ele alınmıştır.
Bununla birlikte, 8.15.0’dan ve 8.17.1’den önce Kibana sürümlerinde, güvenlik açığı sadece izleyici rolüne sahip kullanıcılar tarafından sömürülebilir. Kibana sürümleri 8.17.1 ve 8.17.2’de, yalnızca aşağıda belirtilen tüm ayrıcalıklara sahip kullanıcılar tarafından kullanılabilir –
- Filo-All
- Entegrasyonlar-hepsi
- Eylemler: Yürütme-Gelişmiş-Bağlayıcılar
Kullanıcıların potansiyel tehditlere karşı korumak için en son düzeltmeleri uygulamak için adımlar atmaları tavsiye edilir. Derhal yama bir seçenek değilse, kullanıcıların entegrasyon asistanı özellik bayrağını false (“xpack.integration_assistant.enabled: false”) olarak ayarlamaları önerilir. Kibana’nın yapılandırması (“Kibana.yml”).
Ağustos 2024’te Elastik, Kibana’da başka bir kritik prototip kirliliği kusuruna hitap etti (CVE-2024-37287CVSS puanı: 9.9) Kod yürütmeye yol açabilir. Bir ay sonra çözüldü İki şiddetli serileştirme böceği (CVE-2024-37288, CVSS Skoru: 9.9 ve CVE-2024-37285, CVSS Puanı: 9.1) Ayrıca keyfi kod yürütülmesine izin verebilir.
