Elastic ha rilasciato aggiornamenti di sicurezza per risolvere una grave vulnerabilità che interessa il software di visualizzazione dati Kibana per Elasticsearch, che potrebbe portare all’esecuzione di codice arbitrario.
Dettagli sulla vulnerabilità
La vulnerabilità, identificata come CVE-2025-25012, ha un punteggio CVSS di 9.9 su un massimo di 10.0. È stata descritta come un caso di inquinamento del prototipo. “L’inquinamento del prototipo in Kibana porta all’esecuzione di codice arbitrario tramite un caricamento di file appositamente creato e richieste HTTP specificamente costruite”, ha dichiarato l’azienda in un avviso rilasciato mercoledì.
Impatto e versioni interessate
Questa vulnerabilità interessa tutte le versioni di Kibana comprese tra la 8.15.0 e la 8.17.3. È stata risolta nella versione 8.17.3. Tuttavia, nelle versioni di Kibana dalla 8.15.0 fino alla 8.17.1, la vulnerabilità è sfruttabile solo dagli utenti con il ruolo di Viewer. Nelle versioni 8.17.1 e 8.17.2, può essere sfruttata solo dagli utenti che possiedono tutti i seguenti privilegi: fleet-all, integrations-all, actions:execute-advanced-connectors.
Raccomandazioni per la sicurezza
Si consiglia agli utenti di adottare misure per applicare le ultime correzioni e proteggersi da potenziali minacce. Nel caso in cui l’aggiornamento immediato non sia un’opzione, si raccomanda di impostare il flag della funzione Integration Assistant su false (“xpack.integration_assistant.enabled: false”) nella configurazione di Kibana (“kibana.yml”).
Precedenti vulnerabilità risolte
Ad agosto 2024, Elastic ha affrontato un’altra grave vulnerabilità di inquinamento del prototipo in Kibana (CVE-2024-37287, punteggio CVSS: 9.9) che poteva portare all’esecuzione di codice. Un mese dopo, ha risolto due gravi bug di deserializzazione (CVE-2024-37288, punteggio CVSS: 9.9 e CVE-2024-37285, punteggio CVSS: 9.1) che potevano anch’essi consentire l’esecuzione di codice arbitrario.
Fonte: The Hackers News
