【漏洞通告】Kibana 原型污染导致任意代码执行漏洞(CVE-2025-25015)

文章预览

一、漏洞概述 漏洞名称 Kibana 原型污染导致任意代码执行漏洞 CVE   ID CVE-2025-25015 漏洞类型 远程代码执行 发现时间 2025-03-07 漏洞评分 9.9 漏洞等级 严重 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Kibana是Elastic Stack（ELK）的可视化和分析工具，主要用于日志和指标数据的展示。它支持数据探索、仪表板创建、机器学习分析、警报管理等功能，常与Elasticsearch搭配使用，广泛应用于日志分析、安全监控和业务数据可视化。 2025年3月7日，启明星辰VSRC监测到elastic发布了CVE-2025-25015相关安全公告。公告指出，Kibana存在原型污染（Prototype Pollution）漏洞，攻击者可通过上传特制文件和发送精心构造的HTTP请求，实现任意代码执行（Arbitrary Code Execution）。在Kibana版本≥8.15.0且 < 8.17.1中，该漏洞可被Viewer角色的用户利用。在Kiba ………………………………