4
- شناسه CVE-2025-25014 :CVE
- CWE-1321 :CWE
- no :Advisory
- منتشر شده: می 6, 2025
- به روز شده: می 6, 2025
- امتیاز: 9.1
- نوع حمله: Unknown
- اثر گذاری: Arbitrary code execution(ACE)
- حوزه: نرم افزارهای شبکه و امنیت
- برند: Elastic
- محصول: Kibana
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری CVE-2025-25014 در Kibana منجر به اجرای کد دلخواه از طریق Prototype Pollution اولیه میشود.
توضیحات
یک آسیبپذیری از نوع Prototype Pollution در Kibana شناسایی شده است که در صورت ارسال درخواستهای HTTP مخرب به برخی از endpointهای مرتبط با یادگیری ماشینی (machine learning) و گزارش دهی (reporting)، امکان اجرای کد دلخواه را فراهم میکند. امتیاز CVSS این آسیبپذیری 9.1 و در سطح بحرانی (Critical) ارزیابی شده است.
CVSS
| Score | Severity | Version | Vector String |
| 9.1 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 8.3.0 before 8.17.6 | Kibana |
| affected from 8.18.0 before 8.18.1 | Kibana |
| affected from 9.0.0 before 9.0.1 | Kibana |
لیست محصولات بروز شده
| Versions | Product |
| 8.17.6 and later | Kibana |
| 8.18.1 and later | Kibana |
| 9.0.1 and later | Kibana |
نتیجه گیری
با توجه به بحرانی بودن این آسیبپذیری، توصیه میشود کاربران در اسرع وقت نسخههای آسیبپذیر را بهروزرسانی کنند. همچنین باید از قرار گرفتن سیستمهای آسیبپذیر در معرض شبکههای عمومی خودداری شود.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-25014
- https://www.cvedetails.com/cve/CVE-2025-25014/
- https://discuss.elastic.co/t/kibana-8-17-6-8-18-1-or-9-0-1-security-update-esa-2025-07/377868
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-25014
- https://vuldb.com/?id.307663
- https://cwe.mitre.org/data/definitions/1321.html
