3月6日資料圖解分析系統Kibana發布安全性更新8.17.3版,負責此產品開發的資料搜尋和分析解決方案業者Elastic修補重大層級的任意程式碼執行漏洞CVE-2025-25015,影響8.15.0版以上的Kibana,CVSS風險評分達到9.9(滿分10分),該公司呼籲IT人員應儘速將Kibana升級至最新版本。
這項漏洞與原型汙染(Prototype Pollution)有關,攻擊者只要發出特製的HTTP請求,或是上傳特製的檔案,就有機會執行任意程式碼。
然而,這項漏洞若要濫用,也需要搭配特定條件,而且,也會因Kibana的版本而有難易度的差異:例如,在8.17.1與8.17.2版當中,攻擊者須利用具備特殊權限的使用者帳號才能觸發,但在其他版本裡,只需取得Viewer角色的使用者帳號就能進行。
熱門新聞
2025-03-07
2025-03-07
2025-03-07
Advertisement