CVE-2025-25015

Nome do Software Vulnerável e Versões Afetadas Versões do Kibana de 8.15.0 a 8.17.2

Descrição A poluição de protótipo no Kibana leva à execução arbitrária de código via upload de arquivo manipulada e requisições HTTP especificamente manipuladas. Nas versões do Kibana >= 8.15.0 e < 8.17.1, isso é explorável por usuários com a função Viewer. Nas versões 8.17.1 e 8.17.2 do Kibana, isso é explorável apenas por usuários que possuem funções que contêm todos os seguintes privilégios: fleet-all, integrations-all, actions:execute-advanced-connectors. Mais de 198.000 instâncias expostas foram identificadas.

Recomendações Para as versões do Kibana de 8.15.0 a 8.17.2, atualize para a versão 8.17.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao módulo vulnerável e limitar os privilégios do usuário para minimizar o risco de exploração. Evite o uso de uploads de arquivos manipulados e requisições HTTP até que o problema seja resolvido.