Elastic ออก Patch แก้ช่องโหว่ Kibana ระดับ Critical รีบอัปเดตด่วน

Elastic ได้ออก Security Update เพื่อแก้ไขปัญหาช่องโหว่ระดับ Critical บน Kibana เครื่องมือ Data Visualization Dashboard สำหรับ Elasticsearch อาจจะนำมาสู่การโจมตี Code Execution ได้

โดยช่องโหว่ Prototype Pollution บน Kibana ดังกล่าวถูกติดตามใน CVE-2025-25012 มีคะแนน CVSS สูงถึง 9.9 ที่เรียกว่าเป็นระดับ Critical ควรอัปเดตโดยด่วน เพราะเป็นชนิดของช่องโหว่ในแอปพลิเคชัน JavaScript ที่ผู้โจมตีสามารถควบคุม Prototype ของ Object ซึ่งนำไปสู่พฤติกรรมการดำเนินการที่ไม่คาดฝันหรือการทำ Remote Code Execution ได้

ช่องโหว่ดังกล่าวมีผลต่อ Kibana เวอร์ชันตั้งแต่ 8.15.0 จนถึงก่อน 8.17.1 ที่มีโอกาสถูกใช้ประโยชน์ได้แม้ว่าจะอยู่ในฐานะ Viewer ก็ตาม รวมทั้งในเวอร์ชัน 8.17.1 กับ 8.17.2 จะมีผลกระทบเฉพาะผู้ใช้ที่มี Privileges ได้แก่ fleet-all, integrations-all, actions:execute-advanced-connectors 

ดังนั้น ผู้ใช้งาน Kibana อยู่ ควรจะอัปเกรดให้เป็นเวอร์ชัน 8.17.3 โดยด่วนเพื่อป้องกันไม่ให้เกิดการโจมตี Code Execution ในระบบได้ รายละเอียดเพิ่มเติมสามารถอ่านได้ที่เว็บไซต์ของ Elastic

ที่มา: https://securityaffairs.com/174999/security/elastic-kibana-critical-flaw.html