Компания Elastic выпустила срочные обновления безопасности для устранения критической уязвимости межсайтового скриптинга (Cross-Site Scripting, XSS) в своей аналитической платформе Kibana. Эта брешь, получившая идентификатор CVE-2025-68385, позволяет злоумышленникам выполнять вредоносные (malicious) сценарии в браузерах других пользователей, ставя под угрозу конфиденциальную информацию и сессии.
Детали уязвимости
Уязвимость имеет высокий уровень опасности. Эксперты Elastic присвоили ей оценку 7.2 по шкале CVSSv3.1. Проблема коренится в компоненте для создания визуализаций Vega. Из-за недостаточной нейтрализации пользовательского ввода во время генерации веб-страниц, аутентифицированный злоумышленник может внедрить произвольный JavaScript-код в визуализацию. Когда другой пользователь откроет такую панель мониторинга (dashboard), скрипт автоматически выполнится в его браузере.
Хотя для атаки требуется учётная запись в системе, её последствия могут быть масштабными. Во-первых, вредоносный код способен распространяться на всех, кто просматривает скомпрометированный контент. Во-вторых, он может привести к утечке сессионных токенов, данных из буфера обмена или другой чувствительной информации, доступной через браузер. Уязвимость классифицируется как CWE-79 и затрагивает всю реализацию метода Vega, что означает возможность обхода ранее установленных защитных механизмов.
Под угрозой оказался широкий спектр версий Kibana. В ветке 7.x уязвимы все выпуски. Среди версий 8.x проблема затрагивает релизы с 8.0.0 по 8.19.8 включительно. В новой ветке 9.x уязвимы два диапазона: с 9.0.0 по 9.1.8 и с 9.2.0 по 9.2.2. Следовательно, множество развёрнутых в корпоративной среде инстансов Kibana могут быть подвержены атаке.
Эксплуатация уязвимости оценивается как простая. Атака осуществляется удалённо через сеть и не требует взаимодействия с конечным пользователем. Таким образом, после получения учётных данных злоумышленник может быстро скомпрометировать систему. Это создаёт серьёзные риски для конфиденциальности и целостности данных, обрабатываемых через Kibana.
Компания Elastic уже выпустила исправленные версии. Для устранения угрозы необходимо немедленно обновить Kibana до одной из следующих версий: 8.19.9, 9.1.9 или 9.2.3. Эти патчи обеспечивают корректную нейтрализацию вредоносного ввода в визуализациях Vega и восстанавливают целостность защиты от XSS-атак.
Специалистам по кибербезопасности рекомендуется в приоритетном порядке провести обновление всех развёрнутых экземпляров Kibana. Пока идёт подготовка к апдейту, можно принять дополнительные меры защиты. Например, следует ограничить доступ к Kibana только доверенным пользователям и реализовать сетевое сегментирование. Кроме того, полезно провести аудит созданных визуализаций на предмет подозрительного контента.
В заключение, данная уязвимость подчёркивает важность своевременного обновления компонентов аналитического стека. Kibana часто используется для работы с критически важными операционными данными, и её компрометация может стать началом цепочки более масштабных инцидентов. Поэтому оперативное применение исправлений является ключевым шагом для поддержания безопасности всей IT-инфраструктуры.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-68385
- https://discuss.elastic.co/t/kibana-8-19-9-9-1-9-and-9-2-3-security-update-esa-2025-34/384182
