اخیراً یک آسیبپذیری بحرانی با شناسهی CVE-2025-25014 در کیبانا شناسایی شده که امکان اجرای کد دلخواه را برای مهاجم فراهم میکند. این آسیبپذیری از نوع Prototype Pollution است و نوعی ضعف امنیتی در زبانهای برنامهنویسی مبتنی بر جاوااسکریپت بهشمار میرود که به مهاجم اجازه میدهد تا ساختار یا رفتار اشیاء را با دستکاری Prototype تغییر دهد. این آسیبپذیری بیشتر در برنامههای Node.js یا جاوااسکریپت سمت کلاینت مشاهده میشود.
این آسیبپذیری از طریق ارسال درخواستهای HTTP دستکاریشده به نقاط پایانی مربوط به یادگیری ماشین و گزارشگیری قابل بهرهبرداری است.
این نقص امنیتی در پیکربندیهایی مشاهده میشود که بهصورت Self-hosted یا در Elastic Cloud پیادهسازی شدهاند و در آنها هر دو قابلیت یادگیری ماشین و گزارشگیری فعال هستند.
محصولات آسیبپذیر
نسخههای آسیبپذیر عبارتند از:
- نسخههای 8.3.0 تا 8.17.5، همچنین 8.18.0 و 9.0.0
توصیههای امنیتی
- کاربران باید به یکی از نسخههای 8.17.6، 8.18.1 یا 9.0.1 ارتقاء دهند.
- کاربرانی که نمیتوانند ارتقاء دهند، باید یادگیری ماشین و گزارشگیری را غیرفعال کنند.
- میتوان ویژگی یادگیری ماشین را در هر دو نوع استقرار Self-hosted و Elastic Cloud با افزودن خط زیر به فایل kibana.yml غیرفعال کرد:
xpack.ml.enabled: false
- همچنین کاربران Self-hosted میتوانند فقط ویژگی تشخیص ناهنجاری را با افزودن خط زیر غیرفعال کنند:
xpack.ml.ad.enabled: false
- همچنین میتوان ویژگی گزارشگیری را با افزودن خط زیر به فایل kibana.yml غیرفعال کرد:
xpack.reporting.enabled: false
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2025-25014
[2]https://discuss.elastic.co/t/kibana-8-17-6-8-18-1-or-9-0-1-security-update-esa-2025-07/377868
- 54