CVE-2025-25015 Prototype pollution in Kibana leads to arbitrary code execution

CVSS score: 9.9
Severity: Critical
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
 

Mô tả
Lỗ hổng CVE-2025-25015 là một vấn đề bảo mật nghiêm trọng xuất phát từ lỗi Prototype Pollution trong Kibana – công cụ trực quan hóa dữ liệu của Elastic. Lỗ hổng này cho phép kẻ tấn công từ xa có thể thực thi mã tùy ý thông qua việc gửi file được chế tạo đặc biệt và các yêu cầu HTTP được tùy chỉnh. Qua đó, kẻ tấn công có thể khai thác lỗ hổng để truy cập trái phép, thao tác dữ liệu hoặc thậm chí kiểm soát hoàn toàn hệ thống bị ảnh hưởng.

Chi tiết kĩ thuật
Lỗ hổng xảy ra do quá trình kiểm tra và xác thực đầu vào không đủ chặt chẽ trong quá trình xử lý các thuộc tính của đối tượng JavaScript. Cụ thể:

• Prototype Pollution: Cho phép kẻ tấn công thay đổi chuỗi nguyên mẫu của các đối tượng, dẫn đến thay đổi hành vi của ứng dụng.
• Khai thác: Thông qua việc tải lên file được cấu hình đặc biệt và gửi các yêu cầu HTTP được tạo ra nhằm thay đổi thuộc tính của đối tượng prototype, kẻ tấn công có thể kích hoạt thực thi mã độc.
   

Các phiên bản ảnh hưởng

• Kibana phiên bản từ 8.15.0 đến 8.17.0: Lỗ hổng có thể bị khai thác bởi người dùng với quyền hạn Viewer.
• Kibana phiên bản 8.17.1 và 8.17.2: Lỗ hổng chỉ có thể bị khai thác bởi người dùng có đầy đủ các quyền: fleet-all, integrations-all, và actions:execute-advanced-connectors.
   

Tác động

• Thực thi mã từ xa: Lỗ hổng cho phép kẻ tấn công thực thi mã độc trên máy chủ chạy Kibana, từ đó có thể dẫn đến:  
  • Truy cập trái phép vào dữ liệu quan trọng.
  • Thao tác, thay đổi hoặc xóa dữ liệu.
  • Mở rộng tấn công trong hệ thống mạng nội bộ.
• Mức độ nghiêm trọng: Với CVSS 3.1 cho thấy tấn công từ xa qua mạng (Network), mức độ phức tạp thấp (Low) và không yêu cầu tương tác của người dùng (None), lỗ hổng này đạt điểm 9.9 – cực kỳ nguy hiểm.
   

Biện pháp khắc phục

Nâng cấp Kibana lên phiên bản 8.17.3 – phiên bản đã được phát hành nhằm vá lỗi này.

Biện pháp tạm thời (nếu không thể nâng cấp ngay lập tức):

• Vô hiệu hóa tính năng Integration Assistant: Thêm dòng cấu hình sau vào file kibana.yml:

xpack.integration_assistant.enabled: false 

Tham khảo

• https://nvd.nist.gov/vuln/detail/CVE-2025-25015
• https://discuss.elastic.co/t/kibana-8-17-3-security-update-esa-2025-06/375441
• https://www.cvedetails.com/cve/CVE-2025-25015/