Elástico ha implementado actualizaciones de seguridad para atracar una descompostura de seguridad crítica que impacta el Fryana Visualización de datos Software del tablero para Elasticsearch Eso podría dar circunstancia a la ejecución de código arbitraria.
La vulnerabilidad, rastreada como CVE-2025-25012lleva una puntuación CVSS de 9.9 de un mayor de 10.0. Se ha descrito como un caso de contaminación prototipo.
“La contaminación prototipo en Kibana conduce a la ejecución de código arbitraria a través de una carga de archivos diseñada y solicitudes HTTP específicamente diseñadas”, dijo la compañía en un aviso publicado el miércoles.
La vulnerabilidad de la contaminación prototipo es un defecto de seguridad que permite a los atacantes manipular los objetos y propiedades JavaScript de una aplicación, lo que puede conducir a camino a datos no acreditado, ascenso de privilegios, ineptitud de servicio o ejecución de código remoto.
La vulnerabilidad afecta todas las versiones de Kibana entre 8.15.0 y 8.17.3. Se ha abordado en la lectura 8.17.3.
Dicho esto, en las versiones de Kibana de 8.15.0 y ayer de 8.17.1, la vulnerabilidad es explotable solo por los usuarios con el rol del espectador. En las versiones de Kibana 8.17.1 y 8.17.2, solo pueden ser explotados por usuarios que tienen todos los privilegios a continuación.
- flota
- integraciones
- Acciones: Ejecutar conyectores avanzados
Se recomienda a los usuarios que tomen medidas para aplicar las últimas correcciones para proteger contra posibles amenazas. En caso de que el parche inmediato no sea una opción, se recomienda a los usuarios establecer el indicador de características de Integration Assistant en simulado (“xpack.ingration_assistant.enabled: false”) en la configuración de Kibana (“kibana.yml”).
En agosto de 2024, Elastic abordó otra descompostura de contaminación prototipo crítica en Kibana (CVE-2024-37287, puntaje CVSS: 9.9) que podría conducir a la ejecución del código. Un mes a posteriori, resolvió dos errores de deserialización severos (CVE-2024-37288, puntaje CVSS: 9.9 y CVE-2024-37285, puntaje CVSS: 9.1) que asimismo podrían permitir la ejecución del código arbitraria.
