06 mars 2025Ravie LakshmananSécurité des données / sécurité des logiciels

Élastique a déployé des mises à jour de sécurité pour aborder une faille de sécurité critique Kibana logiciel de tableau de bord de visualisation des données pour Elasticsearch Cela pourrait entraîner une exécution arbitraire de code.

La vulnérabilité, suivie comme CVE-2025-25012porte un score CVSS de 9,9 sur un maximum de 10,0. Il a été décrit comme un cas de pollution prototype.

“La pollution du prototype à Kibana conduit à une exécution de code arbitraire via un téléchargement de fichiers fabriqué et des demandes HTTP spécifiquement conçues”, la société dit Dans un avis publié mercredi.

Vulnérabilité de la pollution prototype est un défaut de sécurité Cela permet aux attaquants de manipuler les objets et les propriétés JavaScript d’une application, conduisant potentiellement à un accès aux données non autorisé, à l’escalade de privilège, à un déni de service ou à l’exécution du code distant.

La vulnérabilité affecte toutes les versions de Kibana entre 8.15.0 et 8.17.3. Il a été abordé dans la version 8.17.3.

Cybersécurité

Cela dit, dans les versions Kibana de 8.15.0 et avant 8.17.1, la vulnérabilité n’est exploitable que par les utilisateurs avec le rôle du spectateur. Dans les versions Kibana 8.17.1 et 8.17.2, il ne peut être exploité que par des utilisateurs qui ont tous les privilèges mentionnés ci-dessous –

  • flotte
  • intégrations-tout
  • Actions: exécuteur-rémunéré

Il est conseillé aux utilisateurs de prendre des mesures pour appliquer les derniers correctifs pour sauvegarder contre les menaces potentielles. Dans le cas où le correctif immédiat n’est pas une option, les utilisateurs sont recommandés pour définir l’indicateur de fonctionnalité d’assistant d’intégration sur false (“xpack.integration_assistant.enabled: false”) dans Configuration de Kibana (“kibana.yml”).

En août 2024, Elastic a abordé un autre défaut de pollution du prototype critique en kibana (CVE-2024-37287Score CVSS: 9.9) qui pourrait conduire à l’exécution du code. Un mois plus tard, il a résolu Deux bogues de désérialisation sévères (CVE-2024-37288, score CVSS: 9.9 et CVE-2024-37285, score CVSS: 9.1) qui pourrait également permettre l’exécution de code arbitraire.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57