CVE-2025-25014（CVSS 9.1）：Kibana原型污染漏洞可导致远程代码执行

Elastic公司针对Kibana发布了一项重大安全公告，警告用户注意编号为CVE-2025-25014的漏洞。该漏洞CVSS评分为9.1分，属于原型污染（Prototype Pollution）类型漏洞，攻击者可通过向Kibana的机器学习（Machine Learning）和报告（Reporting）接口发送特制HTTP请求实现任意代码执行。

漏洞技术细节

公告明确指出："Kibana中的原型污染漏洞允许攻击者通过精心构造的HTTP请求对机器学习和报告接口实施任意代码执行"。原型污染漏洞通过操纵JavaScript对象原型链，使攻击者能够注入恶意属性覆盖应用程序逻辑。在本案例中，该漏洞可升级为远程代码执行（RCE），这对通常处理敏感遥测数据和分析结果的监控环境构成最严重威胁。

受影响版本范围

漏洞影响以下Kibana版本：

• 8.3.0至8.17.5
• 8.18.0
• 9.0.0

无论是自建部署还是Elastic Cloud云服务，只要启用了机器学习和报告功能，均存在风险。

修复方案

Elastic强烈建议用户立即升级至以下修复版本：

• 8.17.6
• 8.18.1
• 9.0.1

对于无法立即升级的用户，Elastic提供了两种缓解措施：

1. 禁用机器学习功能

   • 在kibana.yml配置文件中添加：xpack.ml.enabled: fa