CVE-2025-25014

Kibana arbitrary code execution via prototype pollution

CVSS 9.1 CRITICALEPSS 13.7%CWE-1321

En resumen

Una falla en Kibana permite que atacantes manipulen cómo la aplicación crea objetos, provocando ejecución de código arbitrario. Esto ocurre a través de solicitudes especialmente construidas hacia funcionalidades de aprendizaje automático e informes, permitiendo que los invasores ejecuten cualquier código en el servidor.

Detalle técnico

La vulnerabilidad de contaminación de prototipos en Kibana permite que atacantes inyecten propiedades maliciosas en cadenas de prototipos mediante solicitudes HTTP manipuladas a endpoints de aprendizaje automático e informes, resultando en ejecución de código arbitrario con privilegios del servidor. El ataque requiere acceso a la red hacia los endpoints afectados; no se requiere autenticación si los endpoints están expuestos.

Resumen generado y traducido por IA a partir de la descripción oficial.

A Prototype pollution vulnerability in Kibana leads to arbitrary code execution via crafted HTTP requests to machine learning and reporting endpoints.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Productos afectados

Elastic · Kibana

PoCs públicas encontradas — 1

githubgithub.com/davidxbors/CVE-2025-25014★ 1

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://discuss.elastic.co/t/kibana-8-17-6-8-18-1-or-9-0-1-security-update-esa-2025-07/377868