Kibana 8.15.x < 8.17.3 (ESA_2025_06)
high Nessus プラグイン ID 232287
Language:
概要
リモートホストにセキュリティ更新がありません。説明
リモートホストにインストールされている Kibana のバージョンは、8.17.3 より前です。したがって、ESA_2025_06 のアドバイザリに記載されている脆弱性の影響を受けます。- Kibana のプロトタイプ汚染により、細工されたファイルアップロードおよび特別に細工された HTTP リクエストを介して、任意コード実行が引き起こされます。8.15.0 以前、8.17.1 より前の Kibana バージョンでは、これはビューアーロールを持つユーザーによって悪用される可能性があります。Kibana バージョン 8.17.1 および 8.17.2 では、これは次の権限すべてを含むロールを持つユーザーのみが悪用可能です。frit-all、integrations-all、actions:execute-advanced-connectors (CVE-2025-25012)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Kibana バージョン 8.17.3 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 232287
ファイル名: kibana_esa_2025_06.nasl
バージョン: 1.2
タイプ: remote
ファミリー: CGI abuses
公開日: 2025/3/7
更新日: 2025/5/8
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 2.9
脆弱性情報
CPE: cpe:/a:elasticsearch:kibana
必要な KB アイテム: installed_sw/Kibana
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/3/6
脆弱性公開日: 2025/3/6
参照情報
CVE: CVE-2025-25012
IAVB: 2025-B-0035-S