Elastic公司針對Kibana發(fā)布了一項重大安全公告，警告用戶注意編號為CVE-2025-25014的漏洞。該漏洞CVSS評分為9.1分，屬于原型污染（Prototype Pollution）類型漏洞，攻擊者可通過向Kibana的機器學習（Machine Learning）和報告（Reporting）接口發(fā)送特制HTTP請求實現(xiàn)任意代碼執(zhí)行。

漏洞技術(shù)細節(jié)

公告明確指出："Kibana中的原型污染漏洞允許攻擊者通過精心構(gòu)造的HTTP請求對機器學習和報告接口實施任意代碼執(zhí)行"。原型污染漏洞通過操縱JavaScript對象原型鏈，使攻擊者能夠注入惡意屬性覆蓋應(yīng)用程序邏輯。在本案例中，該漏洞可升級為遠程代碼執(zhí)行（RCE），這對通常處理敏感遙測數(shù)據(jù)和分析結(jié)果的監(jiān)控環(huán)境構(gòu)成最嚴重威脅。

受影響版本范圍

漏洞影響以下Kibana版本：

• 8.3.0至8.17.5
• 8.18.0
• 9.0.0

無論是自建部署還是Elastic Cloud云服務(wù)，只要啟用了機器學習和報告功能，均存在風險。

修復方案

Elastic強烈建議用戶立即升級至以下修復版本：

• 8.17.6
• 8.18.1
• 9.0.1

對于無法立即升級的用戶，Elastic提供了兩種緩解措施：

(1) 禁用機器學習功能

• 在kibana.yml配置文件中添加：xpack.ml.enabled: false
• 或僅禁用異常檢測功能：xpack.ml.ad.enabled: false

(2) 禁用報告功能

• 在kibana.yml配置文件中添加：xpack.reporting.enabled: false

Elastic強調(diào)，短期內(nèi)禁用機器學習或報告任一功能均可有效緩解漏洞風險。建議受影響用戶立即安裝補丁，若暫時無法升級，應(yīng)通過禁用相關(guān)功能模塊阻斷攻擊路徑。