Elastic Kibana 原型污染致任意代码执行漏洞安全风险通告

近日，嘉诚安全监测到Elastic Kibana 原型污染致任意代码执行漏洞，漏洞编号为：CVE-2025-25012。

Kibana 是一款开源的数据可视化和分析平台，主要用于与 Elasticsearch 集成，帮助用户通过直观的界面和丰富的可视化工具快速分析和探索数据，广泛应用于日志分析、实时监控和数据洞察等领域。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

经研判，该漏洞为高危漏洞。攻击者可以通过精心构造的文件上传和特定的 HTTP 请求绕过验证机制，攻击者利用该漏洞后，可以在受影响的系统上执行任意代码，可能导致数据泄露、系统被完全控制等严重后果。

影响版本：

8.15.0 <= Kibana <= 8.17.2

Elastic 已在 Kibana 版本 8.17.3 中修复了该漏洞，建议所有用户尽快升级到此版本：

https://discuss.elastic.co/t/kibana-8-17-3-security-update-esa-2025-06/375441

修复缓解措施：

1.如果无法立即升级，可以通过禁用 Integration Assistant 功能来缓解风险，具体操作为在 Kibana 配置中设置：xpack.integration_assistant.enabled: false。

2.对 Kibana 配置和权限进行审计，确保用户权限最小化，避免不必要高权限分配。

参考资料：

[1]https://securityonline.info/cve-2025-25012-cvss-9-9-critical-code-execution-vulnerability-patched-in-elastic-kibana/

[2]https://discuss.elastic.co/t/kibana-8-17-3-security-update-esa-2025-06/375441