Elasticは、複数のKibanaバージョンに影響する危険なクロスサイトスクリプティング(XSS)脆弱性に対処するため、重大なセキュリティ更新を公開しました。
CVE-2025-68385として追跡されているこの脆弱性により、認証済みの攻撃者は、他のユーザーに提供されるWebページに悪意のあるスクリプトを注入できます。
脆弱性の詳細
この欠陥は、Webページ生成時の入力の無害化が不適切であることに起因しており、特にKibanaのVega可視化コンポーネント内で発生します。
攻撃者は、XSS攻撃を防ぐために設計された従来のセキュリティ対策を回避できます。
悪意のあるスクリプトがコンテンツに埋め込まれると、そのコンテンツを閲覧するユーザーのブラウザで実行され、機密データやセッション情報が侵害される可能性があります。
この脆弱性はCWE-79(クロスサイトスクリプティング)に分類され、Vegaメソッド実装全体に影響します。
攻撃には攻撃者が認証されている必要がありますが、同一のKibanaインスタンスにアクセスする複数のユーザーへ影響が広がり得るため、影響は深刻です。
この脆弱性は、7.x系ブランチの全バージョンを含む、幅広いKibanaバージョンに影響します。
8.x系では、8.0.0から8.19.8までのバージョンが脆弱です。9.x系には影響範囲が2つあり、9.0.0から9.1.8まで、および9.2.0から9.2.2までが該当します。
Elasticはこの脆弱性に対し、CVSSv3.1スコア7.2(高)を割り当てました。
このスコアは複数の懸念要因を反映しています。ネットワーク経由の攻撃ベクターによりリモートから悪用可能であること、複雑性が低く悪用が容易であること、そして初回の認証以外にユーザー操作を必要としないことです。
この脆弱性により、複数のシステムにまたがってデータの機密性と完全性が損なわれる可能性があります。
Elasticはこの問題に対処するため、修正済みバージョンをリリースしました。組織は直ちにKibana 8.19.9、9.1.9、または9.2.3へアップグレードする必要があります。
これらのバージョンには、Vega可視化における悪意のある入力を適切に無害化し、XSS防御の完全性を回復するために必要な修正が含まれています。
セキュリティチームは、可能な限り早急にKibanaの導入環境へパッチ適用を優先すべきです。組織は、認証済みユーザーによって作成された不審な可視化やコンテンツがないか、Kibanaインスタンスを確認する必要があります。
アップグレード準備中の追加対策として、ネットワークセグメンテーションの実施や、Kibanaへのアクセスを信頼できるユーザーに限定することが有効です。
翻訳元: https://gbhackers.com/new-kibana-vulnerabilities/
