Elástico ha implementado actualizaciones de seguridad para abordar una falla de seguridad crítica que impacta el Kibana Visualización de datos Software del tablero para Elasticsearch Eso podría dar lugar a la ejecución de código arbitraria.
La vulnerabilidad, rastreada como CVE-2025-25012lleva una puntuación CVSS de 9.9 de un máximo de 10.0. Se ha descrito como un caso de contaminación prototipo.
“La contaminación prototipo en Kibana conduce a la ejecución de código arbitraria a través de una carga de archivos elaborado y solicitudes HTTP específicamente diseñadas”, la compañía dicho en un aviso publicado el miércoles.
Vulnerabilidad prototipo de contaminación es un falla de seguridad Eso permite a los atacantes manipular los objetos y propiedades JavaScript de una aplicación, lo que puede conducir a acceso a datos no autorizado, escalada de privilegios, negación de servicio o ejecución de código remoto.
La vulnerabilidad afecta todas las versiones de Kibana entre 8.15.0 y 8.17.3. Se ha abordado en la versión 8.17.3.
Dicho esto, en las versiones de Kibana de 8.15.0 y antes de 8.17.1, la vulnerabilidad es explotable solo por los usuarios con el rol del espectador. En las versiones de Kibana 8.17.1 y 8.17.2, solo pueden ser explotados por usuarios que tienen todos los privilegios a continuación.
- flota
- integraciones
- Acciones: Ejecutar conyectores avanzados
Se recomienda a los usuarios que tomen medidas para aplicar las últimas correcciones para salvaguardar contra posibles amenazas. En caso de que el parche inmediato no sea una opción, se recomienda a los usuarios establecer el indicador de características de Integration Assistant en falso (“xpack.ingration_assistant.enabled: falso”) en Configuración de Kibana (“kibana.yml”).
En agosto de 2024, Elastic abordó otra falla de contaminación prototipo crítica en Kibana (CVE-2024-37287Puntaje CVSS: 9.9) que podría conducir a la ejecución del código. Un mes después, se resolvió Dos errores de deserialización severos (CVE-2024-37288, puntaje CVSS: 9.9 y CVE-2024-37285, puntaje CVSS: 9.1) que también podrían permitir la ejecución del código arbitrario.
About the Author
