Elastic ha emitido una alerta crítica de seguridad para Kibana, su plataforma de visualización de datos, debido a una vulnerabilidad de tipo «prototype pollution» que permite la ejecución remota de código. Esta falla afecta a versiones específicas de Kibana cuando las funciones de Machine Learning y Reporting están habilitadas simultáneamente.
- CVE-2025-25014 (CVSS 9.1)
Esta vulnerabilidad permite a atacantes con privilegios altos ejecutar código arbitrario en sistemas afectados mediante solicitudes HTTP especialmente diseñadas dirigidas a los endpoints de Machine Learning y Reporting de Kibana. El problema radica en la manipulación del prototipo de objetos JavaScript, lo que puede alterar la lógica de la aplicación y permitir comportamientos inesperados. Esta falla se considera de alta criticidad debido a su potencial para comprometer entornos que manejan datos sensibles y telemetría.
Productos y versiones afectadas
- Kibana versiones 8.3.0 a 8.17.5, 8.18.0 y 9.0.0 con funciones de Machine Learning y Reporting habilitadas
Solución
- Actualizar a Kibana 8.17.6, 8.18.1 o 9.0.1. Alternativamente, deshabilitar Machine Learning (
xpack.ml.enabled: false) o Reporting (xpack.reporting.enabled: false) en el archivokibana.yml.
RECOMENDACIONES
- Actualizar Kibana a las versiones 8.17.6, 8.18.1 o 9.0.1 para corregir la vulnerabilidad.
- Deshabilitar las funciones de Machine Learning o Reporting si no son necesarias, mediante la configuración en kibana.yml.
- Implementar controles de acceso estrictos y aplicar el principio de privilegios mínimos para los usuarios de Kibana.
- Monitorear los registros de acceso y las actividades en los endpoints de Machine Learning y Reporting para detectar posibles intentos de explotación.
Referencias: