検出

Kibana 7.0.x <= 7.17.29 / 8.0.x <= 8.18.7 / 8.19.x <= 8.19.4 / 9.0.x <= 9.0.7 / 9.1.x <= 9.1.4 複数の XSSESA-2025-17、 ESA-2025-20

high Nessus プラグイン ID 269974

Language:

概要

リモートホストにセキュリティ更新がありません。

説明

リモートホストで実行されているKibanaのバージョンは、より前の 7.17.297.0 、 8.0 より前の 8.18.7、 8.19 より前の 8.19.4、 9.0 より前の 9.0.7 、 9.1 より前の 9.1.4です。したがって、 ESA-2025-17、 ESA-2025-20 アドバイザリで参照されているクロスサイトスクリプティングの脆弱性の影響を受けます。

 - KibanaのWebページ生成中の入力の不適切な中性化により、ケースファイルのアップロードを介して格納型XSSが引き起こされる可能性があります。CVE-2025-25009

 - Kibanaの入力の指定タイプの検証が不適切であるため、格納型クロスサイトスクリプティングXSSが発生する可能性があります。CVE-2025-25018

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Kibanaバージョン 8.18.8、 8.19.5、 9.0.8、 9.1.5 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?33897c12

http://www.nessus.org/u?208feea4

プラグインの詳細

深刻度: High

ID: 269974

ファイル名: kibana_ESA-2025-17_ESA-2025-20.nasl

バージョン: 1.1

タイプ: remote

ファミリー: CGI abuses

公開日: 2025/10/10

更新日: 2025/10/10

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.1

CVSS v2

リスクファクター: High

基本値: 8.5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N

CVSS スコアのソース: CVE-2025-25009

CVSS v3

リスクファクター: High

基本値: 8.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

脆弱性情報

CPE: cpe:/a:elasticsearch:kibana

必要な KB アイテム: installed_sw/Kibana

パッチ公開日: 2025/10/6

脆弱性公開日: 2025/10/6

参照情報

CVE: CVE-2025-25009, CVE-2025-25018

IAVB: 2025-B-0165