Critical Kibana Vulnerability Enabling Remote Code Execution (CVE-2025-25012) – Kudelski Security Research
摘要
一个被标识为CVE-2025-25015的高危漏洞已在Kibana中被披露,该漏洞使得未经身份验证的远程攻击者能够在受影响系统上执行任意代码。此漏洞于2025年3月6日发现,影响Kibana版本8.15.0至8.17.3,对尚未应用必要更新的组织构成重大安全风险。漏洞允许攻击者通过操纵某些用户输入(包括特制的HTTP请求和文件上传)来利用系统。通过利用此漏洞,攻击者可以在受影响系统上获得远程代码执行能力,可能导致未经授权的访问、命令执行、数据操纵或完全系统妥协。
该漏洞的CVSS评分为9.9(满分10分),反映了其严重性。
更新: 我们想提供关于原始公告中引用的CVE ID的重要更新。 在初始公告中,漏洞被错误地标识为CVE-2025-25012。然而,经过Elastic(Kibana的开发者)的进一步澄清,此问题的正确CVE ID是CVE-2025-25015。 此更新不改变漏洞的性质或其影响。 我们对初始错误引用造成的任何混淆表示歉意,并鼓励所有用户遵循推荐的缓解步骤并应用必要的补丁来解决此高危漏洞。
受影响系统和/或应用程序
受影响的Kibana版本:版本8.15.0至8.17.3。
技术细节/攻击概述
被追踪为CVE-2025-25012的漏洞是Kibana中的一个原型污染漏洞,导致任意代码执行。原型污染发生在攻击者操纵应用程序的JavaScript对象和属性时,这可能导致各种恶意结果,如未经授权的数据访问、权限提升、拒绝服务,或在此情况下,远程代码执行。
此漏洞源于不当的输入验证和清理,允许攻击者操纵JavaScript原型链。通过这样做,攻击者可以在服务器上执行任意代码,最终危害受影响系统。具体来说,攻击者可以通过上传特制文件并发送恶意HTTP请求来利用Kibana,实现代码执行。这意味着对手可能获得未经授权的访问、执行命令、操纵数据,甚至完全控制受危害的系统。
此漏洞的关键性质反映在其CVSS评分9.9(满分10分)上,表明其严重性。
利用条件
- 在Kibana版本8.15.0至8.17.0中,漏洞仅可由具有查看者角色的用户利用。
- 在Kibana版本8.17.1和8.17.2中,漏洞仅可由具有以下提升权限的用户利用:
- fleet-all
- integrations-all
- actions:execute-advanced-connectors
在这些版本中,只有拥有所有三个指定权限的用户才能成功利用此漏洞获得未经授权的访问或执行任意代码。
一旦漏洞被成功利用,攻击者可能获得受影响系统的完全控制、执行任意命令或访问敏感数据——具体取决于漏洞利用所授予的权限。
缓解措施
- 更新Kibana:为解决漏洞,将Kibana更新至版本8.17.3。
- 如果无法升级:如果无法立即升级到版本8.17.3,请确保在Kibana配置中添加以下行以降低风险:
此配置更改将禁用集成助手功能,减少攻击面,直到可以应用升级。
1Set xpack.integration_assistant.enabled: false
网络融合中心正在做什么
CFC将继续监控情况,并在需要时发送公告更新。订阅我们漏洞扫描服务的客户将在扫描提供商提供相关插件后,立即收到范围内发现的关键漏洞的相关结果。
Tenable IDs
- CVE-2025-25012