一、漏洞详情
Elastic Kibana是一个开源数据可视化和分析平台,专为与Elasticsearch配合使用而设计。
近日,监测到官方修复Elastic Kibana原型污染致任意代码执行漏洞(CVE-2025-25014),该漏洞源于Kibana中机器学习和报告端点的原型污染问题,攻击者可以通过精心构造的文件上传和特定的 HTTP 请求绕过验证机制,攻击者利用该漏洞后,可以在受影响的系统上执行任意代码,可能导致数据泄露、系统被完全控制等严重后果。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
8.3.0 <= Kibana <= 8.17.5
Kibana 8.18.0
Kibana 9.0.0
三、修复建议
官方已发布安全更新,建议受影响用户尽快升级至8.17.6、8.18.1或9.0.1版本。