| 風險等級: |
高度威脅 |
| 摘 要: |
弱點通告:Kibana 已發布安全更新,建議請使用者儘速評估更新! |
| 影響系統: |
Kibana 8.17.6 之前的版本Kibana 8.18.1 之前的版本Kibana 9.0.1 之前的版本 |
| 解決辦法: |
請參考Elastic官方網站的說明和處理建議:
(1)將Kibana 更新至 8.17.6 (含)或更高版本
(2)將Kibana 更新至 8.18.1 (含)或更高版本
(3)將Kibana 更新至 9.0.1 (含)或更高版本 |
| 細節描述: |
CVE-2025-25014 : CVSS 9.1
CVE-2025-25015 Kibana中存在原型污染(Prototype Pollution)漏洞,因 Kibana 中的原型污染導致,該漏洞可使攻擊者藉由特製HTTP請求,啟用機器學習與報表功能的Kibana實例觸發任意程式碼執行,儘管漏洞需在通過Kibana內部權限驗證的前提下才能觸發,但由於攻擊可在無使用者互動的情況下實現遠端程式碼執行。
Elastic已針對上述漏洞推出修補版本8.17.6、8.18.1與9.0.1,對於無法升級的使用者Elastic也呼籲儘快停用機器學習等部份,將kibana.yml中xpack.ml.enabled或xpack.reporting.enabled設定為false,以確保不會持續被遭受侵入。
HiNet SOC 建議管理者儘速評估更新,以降低受駭風險。
https://hisecure.hinet.net/secureinfo/hotnews.php |
| 參考資訊: |
ithome
Elastic
|
| |
