[TLP:CLEAR] Elastic Kibana opravuje 2 zranitelnosti
Elastic verzemi 8.18.8, 8.19.5, 9.0.8 a 9.1.5 opravuje 2 zranitelnosti v produktu Kibana [1].
Autentizovanému vzdálenému útočníkovi s rolí zahrnující všechna oprávnění v sekci Management pro Fleet a Integrations je kvůli nesprávné neutralizaci vstupu umožněno vykonat XSS útok [1].
Zranitelnost se nachází v produktu Kibana ve verzích (>=7.0.0 AND <=7.17.29) OR (>=8.0.0 AND <=8.18.7) OR (>=8.19.0 AND <=8.19.4) OR (>=9.0.0 AND <=9.0.7) OR (>=9.1.0 AND <=9.1.4).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
Více informací:
- CVE-2025-25018 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 10. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné neutralizaci vstupu při generování webové stránky ve vizualizacích Vega umožněno vykonat XSS útok. Pokud nelze aktualizovat, můžete vizualizace Vega zakázat dle [2].
Zranitelnost se nachází v produktu Kibana ve verzích (>=7.0.0 AND <=7.17.29) OR (>=8.0.0 AND <=8.18.7) OR (>=8.19.0 AND <=8.19.3) OR (>=9.0.0 AND <=9.0.6) OR (>=9.1.0 AND <=9.1.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:H/A:N
Více informací:
- CVE-2025-25017 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 10. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 13. 10. 2025.
