Elastic公司針對Kibana發布了一項重大安全公告，警告用戶注意編號為CVE-2025-25014的漏洞。該漏洞CVSS評分為9.1分，屬于原型污染（Prototype Pollution）類型漏洞，攻擊者可通過向Kibana的機器學習（Machine Learning）和報告（Reporting）接口發送特制HTTP請求實現任意代碼執行。

漏洞技術細節

公告明確指出："Kibana中的原型污染漏洞允許攻擊者通過精心構造的HTTP請求對機器學習和報告接口實施任意代碼執行"。原型污染漏洞通過操縱JavaScript對象原型鏈，使攻擊者能夠注入惡意屬性覆蓋應用程序邏輯。在本案例中，該漏洞可升級為遠程代碼執行（RCE），這對通常處理敏感遙測數據和分析結果的監控環境構成最嚴重威脅。

受影響版本范圍

漏洞影響以下Kibana版本：

• 8.3.0至8.17.5
• 8.18.0
• 9.0.0

無論是自建部署還是Elastic Cloud云服務，只要啟用了機器學習和報告功能，均存在風險。

修復方案

Elastic強烈建議用戶立即升級至以下修復版本：

• 8.17.6
• 8.18.1
• 9.0.1

對于無法立即升級的用戶，Elastic提供了兩種緩解措施：

(1) 禁用機器學習功能

• 在kibana.yml配置文件中添加：xpack.ml.enabled: false
• 或僅禁用異常檢測功能：xpack.ml.ad.enabled: false

(2) 禁用報告功能

• 在kibana.yml配置文件中添加：xpack.reporting.enabled: false

Elastic強調，短期內禁用機器學習或報告任一功能均可有效緩解漏洞風險。建議受影響用戶立即安裝補丁，若暫時無法升級，應通過禁用相關功能模塊阻斷攻擊路徑。