Elastic ออก Patch แก้ช่องโหว่ Kibana ระดับ Critical รีบอัปเดตด่วน

Elastic ได้ออก Security Update เพื่อแก้ไขปัญหาช่องโหว่ระดับ Critical บน Kibana เครื่องมือ Data Visualization Dashboard สำหรับ Elasticsearch อาจจะนำมาสู่การโจมตี Code Execution ได้

โดยช่องโหว่ Prototype Pollution บน Kibana ดังกล่าวถูกติดตามใน CVE-2025-25012 มีคะแนน CVSS สูงถึง 9.9 ที่เรียกว่าเป็นระดับ Critical ควรอัปเดตโดยด่วน เพราะเป็นชนิดของช่องโหว่ในแอปพลิเคชัน JavaScript ที่ผู้โจมตีสามารถควบคุม Prototype ของ Object ซึ่งนำไปสู่พฤติกรรมการดำเนินการที่ไม่คาดฝันหรือการทำ Remote Code Execution ได้

ช่องโหว่ดังกล่าวมีผลต่อ Kibana เวอร์ชันตั้งแต่ 8.15.0 จนถึงก่อน 8.17.1 ที่มีโอกาสถูกใช้ประโยชน์ได้แม้ว่าจะอยู่ในฐานะ Viewer ก็ตาม รวมทั้งในเวอร์ชัน 8.17.1 กับ 8.17.2 จะมีผลกระทบเฉพาะผู้ใช้ที่มี Privileges ได้แก่ fleet-all, integrations-all, actions:execute-advanced-connectors 

ดังนั้น ผู้ใช้งาน Kibana อยู่ ควรจะอัปเกรดให้เป็นเวอร์ชัน 8.17.3 โดยด่วนเพื่อป้องกันไม่ให้เกิดการโจมตี Code Execution ในระบบได้ รายละเอียดเพิ่มเติมสามารถอ่านได้ที่เว็บไซต์ของ Elastic

ที่มา: https://securityaffairs.com/174999/security/elastic-kibana-critical-flaw.html

About chatchai

Tech Writer แห่ง TechTalk Thai ที่สนใจในทุกนวัตกรรมและเทคโนโลยี

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้