Kibana 8.15.x < 8.17.3 (ESA_2025_06)

high Nessus プラグイン ID 232287

概要

リモートホストにセキュリティ更新がありません。

説明

リモートホストにインストールされている Kibana のバージョンは、8.17.3 より前です。したがって、ESA_2025_06 のアドバイザリに記載されている脆弱性の影響を受けます。

- Kibana のプロトタイプ汚染により、細工されたファイルアップロードおよび特別に細工された HTTP リクエストを介して、任意コード実行が引き起こされます。8.15.0 以前、8.17.1 より前の Kibana バージョンでは、これはビューアーロールを持つユーザーによって悪用される可能性があります。Kibana バージョン 8.17.1 および 8.17.2 では、これは次の権限すべてを含むロールを持つユーザーのみが悪用可能です。frit-all、integrations-all、actions:execute-advanced-connectors (CVE-2025-25012)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Kibana バージョン 8.17.3 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?53693415

プラグインの詳細

深刻度: High

ID: 232287

ファイル名: kibana_esa_2025_06.nasl

バージョン: 1.2

タイプ: remote

ファミリー: CGI abuses

公開日: 2025/3/7

更新日: 2025/5/8

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.9

脆弱性情報

CPE: cpe:/a:elasticsearch:kibana

必要な KB アイテム: installed_sw/Kibana

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/3/6

脆弱性公開日: 2025/3/6

参照情報

CVE: CVE-2025-25012

IAVB: 2025-B-0035-S