کشف آسیب‌پذیری در KIBANA

به گزارش کارگروه امنیت سایبربان , اخیراً یک آسیب‌پذیری بحرانی با شناسه‌ی CVE-2025-25014 در کیبانا شناسایی شده که امکان اجرای کد دلخواه را برای مهاجم فراهم می‌کند. این آسیب‌پذیری از نوع Prototype Pollution است و نوعی ضعف امنیتی در زبان‌های برنامه‌نویسی مبتنی بر جاوااسکریپت به‌شمار می‌رود که به مهاجم اجازه می‌دهد تا ساختار یا رفتار اشیاء را با دست‌کاری Prototype تغییر دهد. این آسیب‌پذیری بیشتر در برنامه‌های Node.js یا جاوااسکریپت سمت کلاینت مشاهده می‌شود.

این آسیب‌پذیری از طریق ارسال درخواست‌های HTTP دست‌کاری‌شده به نقاط پایانی مربوط به یادگیری ماشین و گزارش‌گیری قابل بهره‌برداری است.

این نقص امنیتی در پیکربندی‌هایی مشاهده می‌شود که به‌صورت Self-hosted یا در Elastic Cloud پیاده‌سازی شده‌اند و در آن‌ها هر دو قابلیت یادگیری ماشین و گزارش‌گیری فعال هستند.

محصولات آسیب‌پذیر

نسخه‌های آسیب‌پذیر عبارتند از:

• نسخه‌های 8.3.0 تا 8.17.5، همچنین 8.18.0 و 9.0.0

توصیه‌های امنیتی

• کاربران باید به یکی از نسخه‌های 8.17.6، 8.18.1 یا 9.0.1 ارتقاء دهند.

• کاربرانی که نمی‌توانند ارتقاء دهند، باید یادگیری ماشین و گزارش‌گیری را غیرفعال کنند.

• می‌توان ویژگی یادگیری ماشین را در هر دو نوع استقرار Self-hosted و Elastic Cloud با افزودن خط زیر به فایل kibana.yml غیرفعال کرد:

xpack.ml.enabled: false

• همچنین کاربران Self-hosted می‌توانند فقط ویژگی تشخیص ناهنجاری را با افزودن خط زیر غیرفعال کنند:

xpack.ml.ad.enabled: false

• همچنین می‌توان ویژگی گزارش‌گیری را با افزودن خط زیر به فایل kibana.yml غیرفعال کرد:

xpack.reporting.enabled: false

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-25014

[2]https://discuss.elastic.co/t/kibana-8-17-6-8-18-1-or-9-0-1-security-update-esa-2025-07/377868