شرکت Elastic به روزرسانیهای امنیتی را برای رفع آسیبپذیری حیاتی با شناسه CVE-2025-25015 (امتیاز 9.9) در نرمافزار Kibana منتشر کرد که بر Elasticsearch تأثیر میگذارد و میتواند منجر به اجرای کد دلخواه شود.
این آسیبپذیری از نوع Prototype Pollution است که با ارسال درخواستهای HTTP یا بارگذاری فایل مخرب، میتواند امکان دستکاری اشیاء و خصوصیات JavaScript برنامه و دسترسی غیرمجاز به دادهها، ارتقای سطح دسترسی، حملات منع سرویس (DoS) یا اجرای کد از راه دور را برای نفوذگران فراهم سازد. نقص مذکور که تمامی نسخههای Kibana بین 8.15.0 تا 8.17.3 تحت تأثیر قرار میدهد در نسخه 8.17.3 برطرف شده است.گفتنی است که در نسخههای 8.15.0 تا قبل از 8.17.1 Kibana، آسیبپذیری فقط توسط کاربران با نقش Viewer و در نسخههای 8.17.1 و 8.17.2 تنها توسط هر کاربری با دارای مجوزهای fleet-all، integrations-all و actions:execute-advanced-connectors قابل اکسپلویت است.
https://thehackernews.com/2025/03/elastic-releases-urgent-fix-for.html
