Elastic Security ha revelado vulnerabilidades críticas en Kibana que permiten a atacantes ejecutar ataques de Server-Side Request Forgery (SSRF) y Cross-Site Scripting (XSS) en despliegues vulnerables, especialmente en el componente Observability AI Assistant. Estas fallas, incluyendo la registrada como CVE-2025-37734, permiten falsificar cabeceras HTTP Origin y acceder a recursos internos, poniendo en riesgo la confidencialidad e integridad de datos. Se recomienda a los administradores verificar la configuración y parchar lo antes posible.
CVE y severidad
| CVE | Tipo de vulnerabilidad | Vector de ataque | CVSS v3.1 | Severidad | Componentes afectados |
|---|---|---|---|---|---|
| CVE-2025-37734 | Error de validación de origen (SSRF) | Red | 4.3 | Media | Observability AI Assistant en Kibana |
Productos afectados
| Producto | Versiones afectadas | Versiones parcheadas |
|---|---|---|
| Kibana | 8.12.0 – 8.19.6, 9.1.0 – 9.1.6, 9.2.0 | 8.19.7, 9.1.7, 9.2.1 |
Solución
Actualizar a Kibana 8.19.7, 9.1.7 o 9.2.1 según corresponda.
Recomendaciones
Priorizar la aplicación de parches de seguridad para mitigar riesgos y deshabilitar temporalmente la función Observability AI Assistant en los entornos afectados si no es posible actualizar de inmediato; además, implementar segmentación de red y controles de acceso para limitar el impacto en caso de explotación.