Kibana CVE-2025-25014 漏洞通報:影響範圍與修補措施總整理

2025-05-08 更新

Elastic 官方於近期揭露其資料視覺化平台 Kibana 出現高風險資安漏洞 ( CVE-2025-25014 ),該漏洞可能導致未經授權的遠端程式碼執行,對使用 Kibana 的企業構成嚴重安全威脅。本公司提醒使用者即刻評估風險,並採取相應的修補行動,以確保系統安全。


漏洞簡介

CVE-2025-25014 屬於 JavaScript 常見的「原型污染(Prototype Pollution)」漏洞類型,當攻擊者透過特製的 HTTP 請求觸發此漏洞,將有可能影響系統內部資料結構,進一步控制應用程式流程,甚至達成遠端程式碼執行。

此漏洞在下列條件下可被觸發:
● Kibana 啟用了 機器學習功能(xpack.ml.enabled)
● 同時啟用了 報表產生功能(xpack.reporting.enabled)
儘管攻擊需透過具備權限的帳號進行,但仍屬於「無需使用者互動」即可成功利用的嚴重漏洞,CVSS 風險評分達 9.1(高風險等級)。


影響版本

受影響的 Kibana 版本包括:
8.3.0 至 8.17.5
8.18.0
9.0.0


修補版本

Elastic 已釋出以下版本以修補該漏洞:

Kibana 8.17.6
Kibana 8.18.1
Kibana 9.0.1


建議措施

立即升級 至上述任一修補版本。
注意:Elasticsearch 與 Kibana 需同時升級相同版本

若短期內無法升級,請於設定檔中 暫時停用其中一項功能,以降低攻擊風險:

在 Kibana 的設定檔 kibana.yml 中,請停用以下兩項功能中的任一項,以降低風險、阻斷攻擊路徑。

您可以選擇其中一個進行停用(兩者擇一):
1.停用機器學習功能

xpack.ml.ad.enabled: false

2.停用報表功能

xpack.reporting.enabled: false

⚠️ 注意:此為暫時性措施,建議仍盡快更新至已修補版本,以確保系統長期安全。


安全性建議

▲ 定期檢查並更新 Elastic Stack 各元件版本。
▲ 限制報表與機器學習功能的使用角色權限。
▲ 將 Kibana 對外存取設定為內部控管,並搭配 WAF 或 VPN 提升防護。

本公司高度重視客戶系統安全,已協助多家企業進行版本檢測與升級建議。如需支援或有相關疑問,歡迎與我們聯繫,確保您的 Kibana 部署環境持續安全穩定。

快速跳轉目錄

✦ 集先鋒 Bimap – 企業建置高速穩定的海量日誌分析平台✦

集中不同的結構化資料和非結構化日誌,並進行關聯性的大數據整合,客製化儀表版、自訂事件告警、機器學習等等,以滿足各種大數據的應用場景和解決方案。