Kritická zraniteľnosť vo vizualizačnej platforme Kibana

Spoločnosť Elastic vydala bezpečnostné aktualizácie svojej vizualizačnej platformy Kibana, ktoré opravujú kritickú zraniteľnosť. CVE-2025-25014 by vzdialený autentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• Elastic Kibana vo verziách 8.3.0 až 8.17.5
• Elastic Kibana vo verzii 8.18.0
• Elastic Kibana vo verzii 9.0.0

Pozn.: Zraniteľnosť je možné zneužiť len na inštanciách, na ktorých sú súčasne aktívne funkcie Machine Learning a Reporting.

Opis zraniteľnosti:

CVE-2025-25014  (CVSS 3.1 skóre: 9,1)

Kritická zraniteľnosť spočíva v nedostatočnej kontrole neoprávnenej manipulácie s atribútmi prototypov objektov. Vzdialený autentifikovaný útočník by ju mohol zneužiť na vykonanie ľubovoľného kódu zaslaním špeciálne vytvorených HTTP požiadaviek na koncové body Machine Learning a Reporting.

Možné škody:

• Vykonanie ľubovoľného kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame bezodkladnú aktualizáciu Elastic Kibana na verzie 8.17.6, 8.18.1 alebo 9.0.1. V prípade, že aktualizáciu nie je možné vykonať, zraniteľnosť možno dočasne mitigovať aj deaktiváciou minimálne jednej z funkcií Machine Learning alebo Reporting.

Funkciu Machine Learning možno na lokálnych aj cloudových inštanciách deaktivovať pridaním xpack.ml.enabled: false do konfiguračného súboru elasticsearch.yml. Na lokálnych inštanciách je funkciu možno deaktivovať aj pridaním xpack.ml.ad.enabled: false do kibana.yml.

Funkciu Reporting možno na lokálnych aj cloudových inštanciách deaktivovať pridaním xpack.reporting.enabled: false do konfiguračného súboru kibana.yml.

Zdroje:

• https://discuss.elastic.co/t/kibana-8-17-6-8-18-1-or-9-0-1-security-update-esa-2025-07/377868
• https://ccb.belgium.be/advisories/warning-critical-prototype-pollution-elastic-kibana-can-lead-rce-patch-immediately