Se ha encontrado una vulnerabilidad crítica de “Prototype pollution” en el software de visualización de datos Kibana. La vulnerabilidad tiene una criticidad de 9.9 y puede llevar a ejecutar comandos a través de peticiones HTTP especialmente diseñadas mediante una subida de ficheros.
La vulnerabilidad aplica a versiones superiores a la 8.15.0 inclusive y menores a la 8.17.1, en la cual fue corregida y actualizada. La vulnerabilidad puede ser explotada por un usuario con pocos privilegios, cualquiera con rol de “Viewer” específicamente.
Prototype pollution
Cuando un lenguaje trabaja con objetos, todos estos heredan propiedades y métodos de un prototipo común. La vulnerabilidad prototype pollution surge cuando un atacante logra inyectar o modificar propiedades en este prototipo, afectando a todos los objetos derivados de él. Esto se da principalmente en escenarios donde se manipulan objetos de forma dinámica y se utilizan entradas del usuario sin la debida sanitización. Si una función o librería permite modificar el prototipo de forma no controlada, el atacante puede añadir propiedades maliciosas que modifiquen el comportamiento esperado de la aplicación, generando inconsistencias o comportamientos inesperados en el sistema.
Cuando esta vulnerabilidad se combina con otras debilidades, como el uso inseguro de funciones que evalúan código o cargan módulos dinámicamente, el riesgo aumenta y puede conducir a la ejecución remota de código (RCE). Por ejemplo, si una propiedad maliciosa añadida al prototipo se utiliza en un contexto donde se evalúa código (como en el uso de funciones tipo eval), el atacante puede aprovechar esta situación para ejecutar comandos arbitrarios en el servidor o en el entorno del cliente.
CVE-2025-25012
En lo que respecta al CVE-2025-25012, como muchos sabrán, Kibana es un sistema utilizado para visualizar y analizar datos. Kibana forma parte de la suite de Elastic por lo que utiliza principalmente datos almacenados en Elasticsearch, aunque también puede recibir datos de muchas otras plataformas, como por ejemplo bases de datos.
La vulnerabilidad se puede explotar a través de una subida de ficheros. Una vez que se obtiene el control del prototipo, un atacante podría llegar a ejecutar código en el servidor.
Según fuentes de “zoomeye” en la actualidad se encuentran afectados más de 198.000 servidores.
Actualmente, la solución más sencilla es actualizar a una versión igual o superior a la anteriormente indicada, la versión 8.17.1. En los casos en los que no sea posible su actualización inmediata, Elastic ha indicado cuál sería la mitigación temporal:
- Deshabilitar el asistente de integración, agregando la siguiente configuración:
- xpack.integration_assistant.enabled: false
Más información:
- https://discuss.elastic.co/t/kibana-8-17-3-security-update-esa-2025-06/375441
- https://www.zoomeye.ai/searchResult?q=YXBwPSJLaWJhbmEi&from=25030602
- https://socradar.io/kibana-cve-2025-25012-system-code-execution/
Deja una respuesta