Elastic corrige une faille critique dans Kibana permettant l’exécution de code : CVE-2025-25015
Elastic a publié une mise à jour de sécurité pour corriger une vulnérabilité critique affectant Kibana, l'outil de visualisation de données d'Elasticsearch. Cette faille pourrait permettre l'exécution de code arbitraire. Faisons le point.
Une faille de type "prototype pollution"
Selon le bulletin de sécurité publié par Elastic mercredi dernier, la faille de sécurité repose sur une technique appelée "prototype pollution". Cette vulnérabilité, associée à la référence CVE-2025-25015 et à un score CVSS de 9.9 sur 10, est critique.
En l'exploitant, un attaquant peut manipuler les objets et propriétés JavaScript de l'application, pouvant entraîner un accès non autorisé aux données, une élévation de privilèges, un déni de service ou encore l'exécution de code à distance.
Les versions de Kibana concernées par cette faille vont de Kibana 8.15.0 jusqu'aux versions antérieures à 8.17.3. En effetl, la mise à jour 8.17.3 corrige cette vulnérabilité. Il est à noter que son exploitation varie selon les versions, comme l'explique Elastic dans son bulletin de sécurité.
Concrètement, pour Kibana 8.15.0 à 8.17.1, seuls les utilisateurs disposant du rôle "Viewer" sont affectés et vulnérables. Pour les versions 8.17.1 et 8.17.2, l'exploitation de la faille nécessite les privilèges suivants :
- fleet-all
- integrations-all
- actions:execute-advanced-connectors
Une menace limitée aux instances sur Elastic Cloud
Il y a une information importante à prendre en considération : Elastic précise que seules les instances Kibana hébergées sur Elastic Cloud sont concernées.
"Ce problème n'affecte pas les instances Kibana auto-gérées sur les licences Basic ou Platinum.", peut-on lire dans le bulletin de sécurité.
Elastic précise que l'exécution du code reste confinée au conteneur Docker de Kibana, grâce à l'utilisation de seccomp-bpf et des profils AppArmor, ce qui empêche une attaque container escape.
Les utilisateurs sont fortement encouragés à appliquer rapidement le correctif pour se protéger contre d'éventuelles attaques. En tant que solution alternative, et en attendant d'appliquer le patch, Elastic recommande de désactiver l'option "Integration Assistant" en modifiant la configuration de Kibana ("kibana.yml") comme suit :
xpack.integration_assistant.enabled: falseCette vulnérabilité prouve que Kibana, au même titre que les autres applications du SI, est susceptible d'être affecté par des vulnérabilités. D'ailleurs, en septembre 2024, Elastic a déjà corrigé deux failles importantes dans cette solution : CVE-2024-37288 et CVE-2024-37285.
