CVE-2025-25014（CVSS 9.1）：Kibana原型污染漏洞可导致远程代码执行

Elastic公司针对Kibana发布了一项重大安全公告 ，原远程警告用户注意编号为CVE-2025-25014的型污漏洞 。该漏洞CVSS评分为9.1分，染漏属于原型污染（Prototype Pollution）类型漏洞 ，源码库洞可导致代码攻击者可通过向Kibana的执行机器学习（Machine Learning）和报告（Reporting）接口发送特制HTTP请求实现任意代码执行 。

漏洞技术细节

公告明确指出
："Kibana中的原远程原型污染漏洞允许攻击者通过精心构造的免费模板HTTP请求对机器学习和报告接口实施任意代码执行"
。原型污染漏洞通过操纵JavaScript对象原型链
，型污使攻击者能够注入恶意属性覆盖应用程序逻辑。染漏在本案例中，高防服务器洞可导致代码该漏洞可升级为远程代码执行（RCE），执行这对通常处理敏感遥测数据和分析结果的原远程监控环境构成最严重威胁  。

受影响版本范围

漏洞影响以下Kibana版本 ：

8.3.0至8.17.58.18.09.0.0

无论是源码下载型污自建部署还是Elastic Cloud云服务 ，只要启用了机器学习和报告功能 ，染漏均存在风险。模板下载洞可导致代码

修复方案

Elastic强烈建议用户立即升级至以下修复版本：

8.17.68.18.19.0.1

对于无法立即升级的执行用户 ，Elastic提供了两种缓解措施：

(1) 禁用机器学习功能

在kibana.yml配置文件中添加 ：xpack.ml.enabled: false或仅禁用异常检测功能 ：xpack.ml.ad.enabled: false

(2) 禁用报告功能

在kibana.yml配置文件中添加 ：xpack.reporting.enabled: false

Elastic强调，短期内禁用机器学习或报告任一功能均可有效缓解漏洞风险。云计算建议受影响用户立即安装补丁，若暂时无法升级，应通过禁用相关功能模块阻断攻击路径。