Elástico ha implementado actualizaciones de seguridad para abordar una falla de seguridad crítica que impacta el Fryana Visualización de datos Software del tablero para Elasticsearch Eso podría dar lugar a la ejecución de código arbitraria.
La vulnerabilidad, rastreada como CVE-2025-25012lleva una puntuación CVSS de 9.9 de un máximo de 10.0. Se ha descrito como un caso de contaminación prototipo.
«La contaminación prototipo en Kibana conduce a la ejecución de código arbitraria a través de una carga de archivos diseñada y solicitudes HTTP específicamente diseñadas», dijo la compañía en un aviso publicado el miércoles.
La vulnerabilidad de la contaminación prototipo es un defecto de seguridad que permite a los atacantes manipular los objetos y propiedades JavaScript de una aplicación, lo que puede conducir a acceso a datos no autorizado, escalada de privilegios, negación de servicio o ejecución de código remoto.
La vulnerabilidad afecta todas las versiones de Kibana entre 8.15.0 y 8.17.3. Se ha abordado en la versión 8.17.3.
Dicho esto, en las versiones de Kibana de 8.15.0 y antes de 8.17.1, la vulnerabilidad es explotable solo por los usuarios con el rol del espectador. En las versiones de Kibana 8.17.1 y 8.17.2, solo pueden ser explotados por usuarios que tienen todos los privilegios a continuación.
- flota
- integraciones
- Acciones: Ejecutar conyectores avanzados
Se recomienda a los usuarios que tomen medidas para aplicar las últimas correcciones para salvaguardar contra posibles amenazas. En caso de que el parche inmediato no sea una opción, se recomienda a los usuarios establecer el indicador de características de Integration Assistant en falso («xpack.ingration_assistant.enabled: false») en la configuración de Kibana («kibana.yml»).
En agosto de 2024, Elastic abordó otra falla de contaminación prototipo crítica en Kibana (CVE-2024-37287, puntaje CVSS: 9.9) que podría conducir a la ejecución del código. Un mes después, resolvió dos errores de deserialización severos (CVE-2024-37288, puntaje CVSS: 9.9 y CVE-2024-37285, puntaje CVSS: 9.1) que también podrían permitir la ejecución del código arbitraria.