| 細節描述: |
CVE-2025-25015 : CVSS 9.9
CVE-2025-25015 是一個影響 Kibana 的嚴重安全漏洞。Kibana 是一個與 Elasticsearch 搭配使用的資料視覺化和探索工具。
這項漏洞與原型汙染(Prototype Pollution)有關,因 Kibana 中的原型污染導致,攻擊者只要發出特製的HTTP請求或是上傳特製的檔案就有機會執行任意程式碼。
若要濫用這項漏洞,也需要搭配特定條件,也會因Kibana的版本而有難易度的差異須利用具備特殊權限的使用者帳號才能觸發。
例如 :
在版本 8.15.0 至 8.17.1 中,具有「Viewer」角色的使用者可能被利用此漏洞。
在版本 8.17.1 和 8.17.2 中,利用此漏洞需要使用者擁有特定權限,包括「fleet-all」、「integrations-all」和「actions:execute-advanced-connectors」。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
