Kibana 代码注入漏洞：原型污染威胁（CVE-2024-12556）

Kibana（Elasticsearch 广受欢迎的开源数据可视化前端）最新披露的漏洞被评为 CVSS 8.7 分，因其在特定条件下可能允许远程代码注入。该漏洞编号为  CVE-2024-12556，根源在于原型污染问题，当与路径遍历和不受限制的文件上传结合时，攻击者可在易受攻击的 Kibana  环境中获得代码执行机会，构成严重威胁。

原型污染是 JavaScript 和 Node.js 应用程序特有的一种漏洞 。攻击者可通过操纵对象的原型来添加或覆盖本不应存在的属性，导致下游功能出现不可预测的行为，最严重情况下会为任意代码执行打开通道。

在 Kibana 案例中，当该漏洞与文件上传和路径遍历攻击链结合时危害性更大，使得攻击者能够：

• 上传含有恶意内容的文件
• 通过目录遍历向非预期位置写入文件
• 污染对象原型以影响服务器逻辑
• 最终执行注入的代码

“Kibana 中的原型污染漏洞可通过不受限制的文件上传结合路径遍历导致代码注入 ，”安全公告警告称(https://discuss.elastic.co/t/kibana-8-16-4-and-8-17-2-security-update-esa-2025-02/376918)。

该漏洞影响 Kibana 8.16.1 至 8.17.1 版本，强烈建议用户升级至 8.16.4 或 8.17.2 版本以降低风险。

对于无法立即升级 Kibana 安装的用户，可采取以下临时缓解措施：

• 禁用集成助手：必须停留在 8.16.1 版本的用户可通过在 kibana.yml 配置文件中添加行 xpack.integration_assistant.enabled: false来禁用集成助手功能。