Elastic公司針對(duì)Kibana發(fā)布了一項(xiàng)重大安全公告，警告用戶注意編號(hào)為CVE-2025-25014的漏洞。該漏洞CVSS評(píng)分為9.1分，屬于原型污染（Prototype Pollution）類型漏洞，攻擊者可通過向Kibana的機(jī)器學(xué)習(xí)（Machine Learning）和報(bào)告（Reporting）接口發(fā)送特制HTTP請(qǐng)求實(shí)現(xiàn)任意代碼執(zhí)行。

漏洞技術(shù)細(xì)節(jié)

公告明確指出："Kibana中的原型污染漏洞允許攻擊者通過精心構(gòu)造的HTTP請(qǐng)求對(duì)機(jī)器學(xué)習(xí)和報(bào)告接口實(shí)施任意代碼執(zhí)行"。原型污染漏洞通過操縱JavaScript對(duì)象原型鏈，使攻擊者能夠注入惡意屬性覆蓋應(yīng)用程序邏輯。在本案例中，該漏洞可升級(jí)為遠(yuǎn)程代碼執(zhí)行（RCE），這對(duì)通常處理敏感遙測數(shù)據(jù)和分析結(jié)果的監(jiān)控環(huán)境構(gòu)成最嚴(yán)重威脅。

受影響版本范圍

漏洞影響以下Kibana版本：

• 8.3.0至8.17.5
• 8.18.0
• 9.0.0

無論是自建部署還是Elastic Cloud云服務(wù)，只要啟用了機(jī)器學(xué)習(xí)和報(bào)告功能，均存在風(fēng)險(xiǎn)。

修復(fù)方案

Elastic強(qiáng)烈建議用戶立即升級(jí)至以下修復(fù)版本：

• 8.17.6
• 8.18.1
• 9.0.1

對(duì)于無法立即升級(jí)的用戶，Elastic提供了兩種緩解措施：

(1) 禁用機(jī)器學(xué)習(xí)功能

• 在kibana.yml配置文件中添加：xpack.ml.enabled: false
• 或僅禁用異常檢測功能：xpack.ml.ad.enabled: false

(2) 禁用報(bào)告功能

• 在kibana.yml配置文件中添加：xpack.reporting.enabled: false

Elastic強(qiáng)調(diào)，短期內(nèi)禁用機(jī)器學(xué)習(xí)或報(bào)告任一功能均可有效緩解漏洞風(fēng)險(xiǎn)。建議受影響用戶立即安裝補(bǔ)丁，若暫時(shí)無法升級(jí)，應(yīng)通過禁用相關(guān)功能模塊阻斷攻擊路徑。