[TLP:CLEAR] Elastic opravuje 2 zranitelnosti v produktech Kibana a Logstash
Elastic opravuje 2 zranitelnosti ve svých produktech [1][2]. Produkty a jejich opravené verze: Kibana - 8.17.6, 8.18.1 a 9.0.1 [1]; Logstash - 8.17.6, 8.18.1 a 9.0.1 [2].
Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu prototype pollution na instancích Kibany (self-hosted i Elastic Cloud) s aktivními funkcemi Machine Learning (ML) a Reporting umožněno zasíláním speciálně vytvořených HTTP požadavků na ML a Reporting endpointy spustit kód. Není-li možná okamžitá aktualizace na opravenou verzi, je pro dočasnou mitigaci rizika doporučeno jednu z těchto funkcí zakázat. Detailní informace k mitigaci naleznete na [1].
Zranitelnost se nachází v produktu Kibana ve verzích (>=8.3.0 AND <=8.17.5) OR (==8.18.0) OR (==9.0.0).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-25014 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 5. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli chybné validaci certifikátu v pluginu TCP output na instancích Logstash (self-hosted i Elastic Cloud) umožněno při běhu v režimu "client" a konfiguraci "ssl_verification_mode => full" provést útok man-in-the-middle (MITM). Není-li možná okamžitá aktualizace Logstash na opravenou verzi, lze pro dočasnou mitigaci aktualizovat plugin TCP output na verzi 6.2.2 nebo 7.0.1 pomocí příkazu "bin/logstash-plugin update logstash-output-tcp" [2].
Zranitelnost se nachází v produktu Kibana ve verzích (<8.17.6) OR (==8.18.0) OR (==9.0.0).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:N
Více informací:
- CVE-2025-37730 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-295: Improper Certificate Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 5. 2025.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 7. 5. 2025.
