Kibanaの脆弱性(Critical: CVE-2025-25015)とKibana 8.17.3リリース

03/06/2025にKibanaの脆弱性(Critical: CVE-2025-25015)とKibana 8.17.3が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

一次情報源

• Kibana 8.17.3 Security Update (ESA-2025-06)

CVSS/プライオリティ

• CVE-2025-25015
  • 影響するバージョン
    • 8.15.0 <= Kibana < 8.17.2 (8.17.1, 8.17.2の場合には更なる条件が必要)
  • Priority
    • Vendor/NVD: 9.9(CRITICAL)
    • Red Hat:
  • CVSS Score / CVSS Vector
    • Vendor/NVD: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Red Hat:

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• https://www.cve.org/CVERecord?id=CVE-2025-25015
  • プロトタイプ汚染によるKibanaでの任意コード実行の可能性
  • Kibanaのプロトタイプ汚染により、攻撃者が細工されたHTTPリクエストを送ることで任意のコードを実行することが可能です。 Kibana >=8.15,<8.17.1ではViewerロールのユーザがこの脆弱性を悪用できます。8.17.1, 8.17.2では、それに加えてユーザが下のroleに所属している必要があります。
    • hoge
    • fleet-all
    • integrations-all
    • actions:execute-advanced-connectors
    • hoge

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2025-25015
• Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
  • https://access.redhat.com/security/cve/CVE-2025-25015
• Ubuntu
  • https://ubuntu.com/security/CVE-2025-25015
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2025-25015.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• Kibana 8.17.3 Security Update (ESA-2025-06)