Elastic ha publicado actualizaciones de seguridad críticas para Kibana, corrigiendo múltiples vulnerabilidades que podrían permitir ataques como Server-Side Request Forgery (SSRF) y Cross-Site Scripting (XSS). Estas fallas afectan varias versiones y requieren actualización inmediata para evitar exposición de información y posibles compromisos del sistema.
Vulnerabilidades Detalladas
| CVE ID | Severidad | Componente | Descripción | Solución |
| CVE-2025-37734 | Media (CVSS 4.3) | Observability AI Assistant | Permite manipular cabeceras HTTP Origin para realizar solicitudes a recursos internos o externos. | Actualizar a 8.19.7, 9.1.7 o 9.2.1 |
| CVE-2025-59840 | Alta (CVSS 8.7) | Motor Vega | Inyección de JavaScript malicioso mediante visualizaciones Vega. | Actualizar a versiones corregidas o deshabilitar Vega temporalmente. |
| CVE-2026-0628 | Alta | WebView tag | Aplicación insuficiente de políticas en el componente WebView tag que permite evadir restricciones de seguridad. | Actualizar a versiones corregidas. |
Productos Afectados
Producto: Kibana
Versiones vulnerables: 8.12.0–8.19.6, 9.1.0–9.1.6, 9.2.0
Versiones corregidas: 8.19.7, 9.1.7, 9.2.1
Recomendaciones
– Los usuarios deben actualizar a la versión Kibana 8.19.10, 9.1.10, 9.2.4.
– Los clientes que no pueden actualizar, pueden desactivar el tipo de conector estableciendo el valor apropiado en xpack.actions.enabledActionTypes. En configuración de Kibana.
Conclusión
La actualización inmediata es fundamental para mitigar riesgos de explotación y mantener la seguridad de las plataformas basadas en Elastic Kibana.
Referencias
- https://cybersecuritynews.com/elastic-patches-multiple-vulnerabilities/
- https://nvd.nist.gov/vuln/detail/CVE-2025-37734
- https://discuss.elastic.co/t/kibana-8-19-7-9-1-7-and-9-2-1-security-update-esa-2025-24/383381
- https://nvd.nist.gov/vuln/detail/CVE-2025-59840
- https://discuss.elastic.co/t/kibana-8-19-10-9-1-10-9-2-4-security-update-esa-2026-05/384524
- https://www.elastic.co/docs/reference/kibana/configuration-reference/alerting-settings