Vulnérabilité de type pollution de prototype dans Kibana

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2025/ALERTE/038

Date de l’alerte : 09/05/2025

APERÇU :

Une vulnérabilité de type pollution de prototype identifiée dans Kibana, permettrait à un acteur malveillant disposant de privilèges élevés d’exécuter du code arbitraire sur les systèmes affectés.

DESCRIPTION :

Kibana est un outil open source de visualisation de données conçu pour Elasticsearch et permettant aux utilisateurs de créer des tableaux de bord interactifs, des graphiques et des cartes pour explorer, analyser et présenter leurs données. 

Cet outil présente une vulnérabilité libellée CVE-2025-25014. En envoyant une requête spécialement conçue, un acteur malveillant pourrait modifier le prototype global des objets JavaScript en y insérant des propriétés malveillantes. L’exploitation de cette vulnérabilité permettrait à un utilisateur authentifié et disposant de privilèges élevés d’exécuter du code arbitraire sur les systèmes affectés. 

Cette vulnérabilité est classée comme critique avec un score de sévérité de 9.1 selon le CVSS 3.1. 

IMPACT :

  • Atteinte à confidentialité des données ; 
  • Atteinte à l’intégrité des données ; 
  • Exécution de code arbitraire;
  • Atteinte à disponibilité des données.

 SYSTÈMES AFFECTÉS : 

  • Kibana versions 8.3.0 à 8.17.5, 8.18.0 et 9.0.0 ; 
  • Déploiements Elastic (auto-hébergés ou en environnement Cloud) avec les modules Machine Learning et Reporting activés.

MESURES À PRENDRE :

  • Mettre à jour Kibana vers l’une des versions suivantes : 8.17.6, 8.18.1 ou 9.0.1 ; 
  • Pour les utilisateurs ne pouvant pas mettre à jour immédiatement, désactiver la fonctionnalité de Machine Learning en ajoutant xpack.ml.enabled: false dans le fichier kibana.yml ou désactiver la fonctionnalité de Reporting en ajoutant xpack.reporting.enabled: false dans le fichier kibana.yml.

RÉFÉRENCES :

Partagez sur vos réseaux.