首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Kibana 原型污染導致任意代碼執行漏洞 (CVE-2025-25014)

發布時間 2025-05-07

一、漏洞概述


漏洞名稱

Kibana 原型污染導致任意代碼執行漏洞

CVE   ID

CVE-2025-25014

漏洞類型

原型污染

發現時間

2025-05-07

漏洞評分

9.1

漏洞等級

嚴重

攻擊向量

網絡

所需權限

利用難度

用戶交互

不需要

PoC/EXP

未公開

在野利用

未發現


Elastic Kibana是一個開源數據可視化和分析平臺,專為與Elasticsearch配合使用而設計。它允許用戶通過圖形界面直觀地展示和探索數據,支持實時數據分析、日志監控和業務指標跟蹤。Kibana提供強大的搜索、過濾和可視化功能,適用于大規模數據處理和展示。它常用于安全事件監控、日志分析、業務智能等領域,是Elastic Stack(包括Elasticsearch、Logstash和Beats)的核心組件之一。


2025年5月7日,啟明星辰集團VSRC監測到Elastic官方發布的安全公告,指出Elastic Kibana存在原型污染漏洞。攻擊者可通過精心構造的HTTP請求,利用Kibana的機器學習和報告端點,可能導致任意代碼執行,漏洞級別嚴重,漏洞評分9.1分。


二、影響范圍


8.3.0 <= Kibana <= 8.17.5

Kibana 8.18.0
Kibana 9.0.0


三、安全措施


3.1 升級版本


官方已發布安全更新,建議受影響用戶盡快升級至8.17.6、8.18.1或9.0.1版本。


下載鏈接:https://github.com/elastic/kibana/releases


3.2 臨時措施


對于無法升級的用戶,可以通過禁用機器學習或報告功能來緩解風險。自托管和Elastic Cloud部署的用戶可在kibana.yml文件中添加xpack.ml.enabled: false來禁用機器學習功能;若僅需禁用異常檢測功能,自托管用戶可添加xpack.ml.ad.enabled: false。同時,用戶也可以通過在kibana.yml文件中添加xpack.reporting.enabled: false來禁用報告功能。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。

加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://discuss.elastic.co/t/kibana-8-17-6-8-18-1-or-9-0-1-security-update-esa-2025-07/377868

上一篇 下一篇