Elastic Kibana opravuje kritickou zranitelnost

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Elastic Kibana opravuje kritickou zranitelnost

Elastic Kibana verzí 8.17.3 opravuje kritickou zranitelnost [1].

Elastic Kibana - RCE (CVE-2025-25015) CVSS 9.9 (Critical)

Autentizovanému vzdálenému útočníkovi s rolí Viewer je prostřednictvím podvrženého souboru a speciálně vytvořených HTTP požadavků umožněno vykonat spuštění libovolného kódu. Ve verzích 8.17.1 a 8.17.2 mohou zranitelnost zneužít pouze uživatelé s rolí, která zahrnuje všechna následující oprávnění: fleet-all, integrations-all a actions:execute-advanced-connectors [1].

Zranitelnost se nachází v produktu Kibana ve verzích >=8.15.0 AND <8.17.3.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Více informací:

CVE-2025-25015 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 5. 3. 2025.

Odkazy

[1] https://discuss.elastic.co/t/kibana-8-17-3-security-update-esa-2025-06/375441

Za CESNET-CERTS Michaela Jarošová dne 11. 3. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] Elastic Kibana opravuje kritickou zranitelnost

Elastic Kibana - RCE (CVE-2025-25015) CVSS 9.9 (Critical)

Odkazy