基本信息
漏洞编号: CVE-2025-25015
危险等级: 高危
影响版本: Kibana >= 8.15.0 且 < 8.17.1
受影响组件: Kibana 文件上传功能
验证状态: 已验证
修复状态: 官方已发布修复版本
漏洞详情
Kibana存在一个原型污染问题,该漏洞允许攻击者通过精心设计的文件上传和特定的HTTP请求,触发任意代码执行。在Kibana版本 >= 8.15.0 且 < 8.17.1 中,拥有 Viewer 角色的用户即可利用该漏洞;在Kibana版本 8.17.1 和 8.17.2 中,仅拥有以下所有权限的用户可利用该漏洞:`fleet-all`, `integrations-all`, `actions:execute-advanced-connectors`。
由于Kibana经常被用于可视化和分析Elasticsearch数据,其在企业环境中的使用十分广泛,因此该漏洞可能被利用进行恶意攻击,威胁程度较高。
影响范围
影响版本
Kibana >= 8.15.0 且 < 8.17.1
受影响的产品
- Kibana 8.15.x
- Kibana 8.16.x
- Kibana 8.17.0
验证方法
- 登录Kibana管理界面。
- 查看Kibana版本号,确认是否在受影响范围内。
修复方案
方案一:版本升级 (推荐)
官方已发布修复版本,建议用户尽快升级至最新版本的Kibana (>= 8.17.3)。升级步骤请参考Elastic官方文档。
方案二:访问限制 (临时缓解)
短期内,用户可以通过以下方式缓解漏洞风险:
- 限制Kibana的访问权限,仅允许授权用户访问。
- 在网络层面配置防火墙规则,阻止未经授权的HTTP请求。
为了更彻底地解决问题,仍建议尽快采取方案一进行版本升级。