mercoledì, 12 Marzo 2025
spot_imgspot_imgspot_imgspot_img
HomeInformaticaCyber SecurityElastic rilascia correzione urgente per vulnerabilità critica di Kibana che consente l'esecuzione...

Elastic rilascia correzione urgente per vulnerabilità critica di Kibana che consente l’esecuzione di codice remoto

Elastic ha rilasciato aggiornamenti di sicurezza per risolvere una grave vulnerabilità che interessa il software di visualizzazione dati Kibana per Elasticsearch, che potrebbe portare all’esecuzione di codice arbitrario.

Dettagli sulla vulnerabilità

La vulnerabilità, identificata come CVE-2025-25012, ha un punteggio CVSS di 9.9 su un massimo di 10.0. È stata descritta come un caso di inquinamento del prototipo. “L’inquinamento del prototipo in Kibana porta all’esecuzione di codice arbitrario tramite un caricamento di file appositamente creato e richieste HTTP specificamente costruite”, ha dichiarato l’azienda in un avviso rilasciato mercoledì.

Impatto e versioni interessate

Questa vulnerabilità interessa tutte le versioni di Kibana comprese tra la 8.15.0 e la 8.17.3. È stata risolta nella versione 8.17.3. Tuttavia, nelle versioni di Kibana dalla 8.15.0 fino alla 8.17.1, la vulnerabilità è sfruttabile solo dagli utenti con il ruolo di Viewer. Nelle versioni 8.17.1 e 8.17.2, può essere sfruttata solo dagli utenti che possiedono tutti i seguenti privilegi: fleet-all, integrations-all, actions:execute-advanced-connectors.

Raccomandazioni per la sicurezza

Si consiglia agli utenti di adottare misure per applicare le ultime correzioni e proteggersi da potenziali minacce. Nel caso in cui l’aggiornamento immediato non sia un’opzione, si raccomanda di impostare il flag della funzione Integration Assistant su false (“xpack.integration_assistant.enabled: false”) nella configurazione di Kibana (“kibana.yml”).

Precedenti vulnerabilità risolte

Ad agosto 2024, Elastic ha affrontato un’altra grave vulnerabilità di inquinamento del prototipo in Kibana (CVE-2024-37287, punteggio CVSS: 9.9) che poteva portare all’esecuzione di codice. Un mese dopo, ha risolto due gravi bug di deserializzazione (CVE-2024-37288, punteggio CVSS: 9.9 e CVE-2024-37285, punteggio CVSS: 9.1) che potevano anch’essi consentire l’esecuzione di codice arbitrario.

 

Fonte: The Hackers News

articolo originale

Ricevi le ultime attualità sul mondo tech!

Julie Maddaloni
Julie Maddaloni
Ciao! Sono una blogger appassionata di tecnologia e delle news dei mondi Apple e Android. Amo scoprire le ultime novità del settore e condividere storie e consigli utili con chi, come me, è sempre alla ricerca delle ultime novità. Quando non sono immersa tra recensioni e aggiornamenti tech, mi rilasso con una buona pizza e una maratona di serie TV! 🍕📱💙
RELATED ARTICLES

Ultimi articoli