| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Kibana 已發布安全更新,建議請使用者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 請參考Elastic官方網站的說明和處理建議: (1)將Kibana 更新至 8.17.6 (含)或更高版本 (2)將Kibana 更新至 8.18.1 (含)或更高版本 (3)將Kibana 更新至 9.0.1 (含)或更高版本 |
| 細節描述: | CVE-2025-25014: CVSS 9.1 CVE-2025-25015 Kibana中存在原型污染(Prototype Pollution)漏洞,因 Kibana 中的原型污染導致,該漏洞可使攻擊者藉由特製HTTP請求,啟用機器學習與報表功能的Kibana實例觸發任意程式碼執行,儘管漏洞需在通過Kibana 內部權限驗證的前提下才能觸發,但由於攻擊可在無使用者互動的情況下實現遠端程式碼執行。Elastic已針對上述漏洞推出修補版本8.17.6、8.18.1與9.0.1,對於無法升級的使用者Elastic也呼籲儘快停用機器學習等部份,將kibana.yml中xpack.ml.enabled或xpack.reporting.enabled設定為false,以確保不會持續被遭受侵入。 |
| 參考資訊: | ithome Elastic |