CVE-2025-25014

Kibana arbitrary code execution via prototype pollution

CVSS 9.1 CRITICALEPSS 13.7%CWE-1321

Em resumo

Uma falha no Kibana permite que atacantes manipulem como a aplicação cria objetos, levando à execução de código arbitrário. Isso acontece através de requisições especialmente construídas para funcionalidades de aprendizado de máquina e relatórios, permitindo que invasores executem qualquer código no servidor.

Detalhe técnico

Vulnerabilidade de poluição de protótipo no Kibana permite que atacantes injetem propriedades maliciosas nas cadeias de protótipos via requisições HTTP manipuladas aos endpoints de aprendizado de máquina e relatórios, resultando em execução de código arbitrário com privilégios do servidor. O ataque requer acesso à rede para endpoints afetados; nenhuma autenticação é necessária se os endpoints estiverem expostos.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A Prototype pollution vulnerability in Kibana leads to arbitrary code execution via crafted HTTP requests to machine learning and reporting endpoints.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Produtos afetados

Elastic · Kibana

PoCs públicas encontradas — 1

githubgithub.com/davidxbors/CVE-2025-25014★ 1

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://discuss.elastic.co/t/kibana-8-17-6-8-18-1-or-9-0-1-security-update-esa-2025-07/377868