El\u00e1stico <\/b>ha implementado actualizaciones de seguridad para abordar una falla de seguridad cr\u00edtica que impacta el Kibana <\/b>Visualizaci\u00f3n de datos Software del tablero para Elasticsearch <\/b>Eso podr\u00eda dar lugar a la ejecuci\u00f3n de c\u00f3digo arbitraria.<\/p>\n
La vulnerabilidad, rastreada como CVE-2025-25012<\/strong>lleva una puntuaci\u00f3n CVSS de 9.9 de un m\u00e1ximo de 10.0. Se ha descrito como un caso de contaminaci\u00f3n prototipo.<\/p>\n “La contaminaci\u00f3n prototipo en Kibana conduce a la ejecuci\u00f3n de c\u00f3digo arbitraria a trav\u00e9s de una carga de archivos elaborado y solicitudes HTTP espec\u00edficamente dise\u00f1adas”, la compa\u00f1\u00eda dicho<\/a> en un aviso publicado el mi\u00e9rcoles.<\/p>\n Vulnerabilidad prototipo de contaminaci\u00f3n<\/a> es un falla de seguridad<\/a> Eso permite a los atacantes manipular los objetos y propiedades JavaScript de una aplicaci\u00f3n, lo que puede conducir a acceso a datos no autorizado, escalada de privilegios, negaci\u00f3n de servicio o ejecuci\u00f3n de c\u00f3digo remoto. <\/p>\n La vulnerabilidad afecta todas las versiones de Kibana entre 8.15.0 y 8.17.3. Se ha abordado en la versi\u00f3n 8.17.3.<\/p>\n Dicho esto, en las versiones de Kibana de 8.15.0 y antes de 8.17.1, la vulnerabilidad es explotable solo por los usuarios con el rol del espectador. En las versiones de Kibana 8.17.1 y 8.17.2, solo pueden ser explotados por usuarios que tienen todos los privilegios a continuaci\u00f3n.<\/p>\n Se recomienda a los usuarios que tomen medidas para aplicar las \u00faltimas correcciones para salvaguardar contra posibles amenazas. En caso de que el parche inmediato no sea una opci\u00f3n, se recomienda a los usuarios establecer el indicador de caracter\u00edsticas de Integration Assistant en falso (“xpack.ingration_assistant.enabled: falso”) en Configuraci\u00f3n de Kibana<\/a> (“kibana.yml”).<\/p>\n En agosto de 2024, Elastic abord\u00f3 otra falla de contaminaci\u00f3n prototipo cr\u00edtica en Kibana (CVE-2024-37287<\/a>Puntaje CVSS: 9.9) que podr\u00eda conducir a la ejecuci\u00f3n del c\u00f3digo. Un mes despu\u00e9s, se resolvi\u00f3 Dos errores de deserializaci\u00f3n severos<\/a> (CVE-2024-37288, puntaje CVSS: 9.9 y CVE-2024-37285, puntaje CVSS: 9.1) que tambi\u00e9n podr\u00edan permitir la ejecuci\u00f3n del c\u00f3digo arbitrario.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Liberacion-elastica-de-la-solucion-urgente-para-la-vulnerabilidad-critica.png\")
<\/a><\/center><\/div>\n\n