Elastik kritik bir güvenlik kusurunu ele almak için güvenlik güncellemeleri yayınladı. Fryana için veri görselleştirme gösterge paneli yazılımı Elasticsearch Bu, keyfi kod yürütülmesine neden olabilir.
Güvenlik açığı, CVE-2025-25012maksimum 10.0 üzerinden 9,9 CVSS skoru taşır. Prototip kirliliği olgusu olarak tanımlanmıştır.
Şirket, “Kibana’daki prototip kirliliği hazırlanmış bir dosya yüklemesi ve özellikle hazırlanmış HTTP istekleri yoluyla keyfi kod uygulamasına yol açıyor.” Dedi.
Prototip kirliliği güvenlik açığı, saldırganların bir uygulamanın JavaScript nesnelerini ve özelliklerini manipüle etmesini sağlayan bir güvenlik kusurudur, bu da potansiyel olarak yetkisiz veri erişimi, ayrıcalık artış, hizmet reddi veya uzaktan kod yürütülmesine yol açar.
Güvenlik açığı, Kibana’nın tüm sürümlerini 8.15.0 ve 8.17.3 arasında etkiler. 8.17.3 sürümünde ele alınmıştır.
Bununla birlikte, 8.15.0’dan ve 8.17.1’den önce Kibana sürümlerinde, güvenlik açığı sadece izleyici rolüne sahip kullanıcılar tarafından sömürülebilir. Kibana sürümleri 8.17.1 ve 8.17.2’de, yalnızca aşağıda belirtilen tüm ayrıcalıklara sahip kullanıcılar tarafından kullanılabilir –
- Filo-All
- Entegrasyonlar-hepsi
- Eylemler: Yürütme-Gelişmiş-Bağlayıcılar
Kullanıcıların potansiyel tehditlere karşı korumak için en son düzeltmeleri uygulamak için adımlar atmaları tavsiye edilir. Derhal yama bir seçenek değilse, kullanıcıların Kibana’nın yapılandırmasında (“Kibana.yml”) entegrasyon asistanı özellik bayrağını false (“xpack.integration_assistant.enable: false”) olarak ayarlamaları önerilir.
Ağustos 2024’te Elastik, kod uygulamasına yol açabilecek Kibana’da (CVE-2024-37287, CVSS skoru: 9.9) başka bir kritik prototip kirliliği kusuruna değindi. Bir ay sonra, keyfi kod uygulamasına da izin verebilecek iki şiddetli fasirleşme hatasını (CVE-2024-37288, CVSS skoru: 9.9 ve CVE-2024-37285, CVSS skoru: 9.1) çözdü.