Elastic 官方於近期揭露其資料視覺化平台 Kibana 出現高風險資安漏洞 ( CVE-2025-25014 ),該漏洞可能導致未經授權的遠端程式碼執行,對使用 Kibana 的企業構成嚴重安全威脅。本公司提醒使用者即刻評估風險,並採取相應的修補行動,以確保系統安全。
漏洞簡介
CVE-2025-25014 屬於 JavaScript 常見的「原型污染(Prototype Pollution)」漏洞類型,當攻擊者透過特製的 HTTP 請求觸發此漏洞,將有可能影響系統內部資料結構,進一步控制應用程式流程,甚至達成遠端程式碼執行。
此漏洞在下列條件下可被觸發:
● Kibana 啟用了 機器學習功能(xpack.ml.enabled)
● 同時啟用了 報表產生功能(xpack.reporting.enabled)
儘管攻擊需透過具備權限的帳號進行,但仍屬於「無需使用者互動」即可成功利用的嚴重漏洞,CVSS 風險評分達 9.1(高風險等級)。
影響版本
受影響的 Kibana 版本包括:
8.3.0 至 8.17.5
8.18.0
9.0.0
修補版本
Elastic 已釋出以下版本以修補該漏洞:
Kibana 8.17.6
Kibana 8.18.1
Kibana 9.0.1
建議措施
立即升級 至上述任一修補版本。
注意:Elasticsearch 與 Kibana 需同時升級相同版本
若短期內無法升級,請於設定檔中 暫時停用其中一項功能,以降低攻擊風險:
在 Kibana 的設定檔 kibana.yml 中,請停用以下兩項功能中的任一項,以降低風險、阻斷攻擊路徑。
您可以選擇其中一個進行停用(兩者擇一):
1.停用機器學習功能
xpack.ml.ad.enabled: false
2.停用報表功能
xpack.reporting.enabled: false
⚠️ 注意:此為暫時性措施,建議仍盡快更新至已修補版本,以確保系統長期安全。
安全性建議
▲ 定期檢查並更新 Elastic Stack 各元件版本。
▲ 限制報表與機器學習功能的使用角色權限。
▲ 將 Kibana 對外存取設定為內部控管,並搭配 WAF 或 VPN 提升防護。
本公司高度重視客戶系統安全,已協助多家企業進行版本檢測與升級建議。如需支援或有相關疑問,歡迎與我們聯繫,確保您的 Kibana 部署環境持續安全穩定。