一�����、漏洞詳情
Elastic Kibana是一個(gè)開源數(shù)據(jù)可視化和分析平臺(tái)���,專為與Elasticsearch配合使用而設(shè)計(jì)�。
近日,監(jiān)測到官方修復(fù)Elastic Kibana原型污染致任意代碼執(zhí)行漏洞(CVE-2025-25014)��,該漏洞源于Kibana中機(jī)器學(xué)習(xí)和報(bào)告端點(diǎn)的原型污染問題,攻擊者可以通過精心構(gòu)造的文件上傳和特定的 HTTP 請求繞過驗(yàn)證機(jī)制���,攻擊者利用該漏洞后�����,可以在受影響的系統(tǒng)上執(zhí)行任意代碼,可能導(dǎo)致數(shù)據(jù)泄露�、系統(tǒng)被完全控制等嚴(yán)重后果。
建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊���。
二、影響范圍
8.3.0 <= Kibana <= 8.17.5
Kibana 8.18.0
Kibana 9.0.0
三��、修復(fù)建議
官方已發(fā)布安全更新,建議受影響用戶盡快升級至8.17.6����、8.18.1或9.0.1版本。