14 mars 2025

Krusell France

Ta dose d'actu digital !

Mise à jour critique de sécurité pour Kibana : Elastic corrige une faille majeure

4 jours ago Julien Castex
Elastic Kibana - Faille de sécurité - CVE-2025-25015
Rate this post

Une mise à jour de sécurité critique pour Kibana, l’outil de visualisation de données d’Elasticsearch, a été récemment publiée par Elastic. Cette mise à jour vise à corriger une faille de sécurité majeure liée à la technique de “prototype pollution”. Voyons en détail les informations importantes à retenir.

Sommaire masquer
1 Une vulnérabilité critique liée à la “prototype pollution”
2 Des privilèges spécifiques nécessaires pour exploiter la faille
3 Une menace circonscrite aux instances sur Elastic Cloud
4 Actualités similaires :

Une vulnérabilité critique liée à la “prototype pollution”

D’après le bulletin de sécurité émis par Elastic, la faille de sécurité identifiée repose sur la technique de “prototype pollution”. Cette vulnérabilité, référencée sous le numéro CVE-2025-25015 et avec un score CVSS de 9.9 sur 10, est considérée comme critique.

En exploitant cette faille, un attaquant pourrait manipuler les objets et propriétés JavaScript de l’application, ce qui pourrait potentiellement conduire à un accès non autorisé aux données, à une élévation de privilèges, à un déni de service ou encore à l’exécution de code à distance.

Les versions de Kibana impactées par cette faille vont de la version 8.15.0 à toutes les versions antérieures à la version 8.17.3. La mise à jour 8.17.3 a été déployée spécifiquement pour corriger cette vulnérabilité. Il est important de noter que l’exploitation de cette faille varie en fonction des versions, comme mentionné dans le bulletin de sécurité d’Elastic.

Des privilèges spécifiques nécessaires pour exploiter la faille

Pour les versions de Kibana allant de 8.15.0 à 8.17.1, seuls les utilisateurs disposant du rôle “Viewer” sont affectés par cette vulnérabilité. Quant aux versions 8.17.1 et 8.17.2, l’exploitation de la faille requiert des privilèges spécifiques tels que :

  • fleet-all
  • integrations-all
  • actions:execute-advanced-connectors

Une menace circonscrite aux instances sur Elastic Cloud

Il est crucial de noter qu’only les instances de Kibana hébergées sur Elastic Cloud sont concernées par cette vulnérabilité, selon les informations fournies par Elastic dans son bulletin de sécurité. Les instances Kibana auto-gérées sur les licences Basic ou Platinum ne sont pas impactées par ce problème.

Malgré cela, Elastic assure que l’exécution du code reste confinée au conteneur Docker de Kibana, grâce à l’utilisation de seccomp-bpf et des profils AppArmor, ce qui empêche une évasion d’attaques au niveau des conteneurs.

Il est fortement recommandé aux utilisateurs d’appliquer rapidement le correctif pour se prémunir contre d’éventuelles attaques. En attendant de déployer le correctif, Elastic suggère de désactiver l’option “Integration Assistant” en modifiant la configuration de Kibana (“kibana.yml”) comme suit :

xpack.integration_assistant.enabled: false

Cette vulnérabilité met en évidence la nécessité de rester vigilants quant à la sécurité des applications telles que Kibana. En effet, en septembre 2024, Elastic a déjà corrigé deux failles de sécurité importantes dans cette solution : CVE-2024-37288 et CVE-2024-37285.

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications

Actualités similaires :

  1. Mise à jour critique pour les routeurs ASUS : faille de sécurité corrigée
  2. GitLab corrige une faille de sécurité majeure dans l’éditeur Web IDE : comment se protéger
  3. Mise à jour nécessaire pour protéger votre ordinateur Intel contre une faille critique de sécurité dans le firmware UEFI.
  4. Mise à jour de sécurité critique pour Google Chrome en 2024
  5. Mise à jour de sécurité critique pour Firefox : comment se protéger ?
  6. Rsync : mise à jour critique pour corriger des failles de sécurité majeures.
Tags:

Plus d'actu

Windows - CVE-2025-24983 - Exploitée depuis mars 2023

Patch Tuesday Mars 2025 : Microsoft corrige une faille zero-day sur Windows

9 heures ago Julien Castex
Comment restaurer un contrôleur de domaine Active Directory

Restauration AD : méthodes, bonnes pratiques et erreurs à éviter

13 heures ago Julien Castex
Des pirates chinois s'infiltrent sur les routeurs Juniper depuis mi-2024 grâce à une porte dérobée

Cyberespionnage chinois : CVE-2025-21590 exploité sur routeurs Juniper

15 heures ago Julien Castex

Vous avez peut-être manqué

The Galaxy S25 Ultra gets a teardown, revealing something surprising

Samsung pourrait apporter un objectif à ouverture variable sur le Galaxy S26 Ultra

29 minutes ago Julien Castex
Apple iPhone 17 Air: Ultimate Preview Guide

Tout savoir sur l’iPhone 17 Air : spécifications, prix et design

2 heures ago Julien Castex
Official PlayStation Podcast Episode 510: Cereal Monsters

Les sorties PlayStation à ne pas rater : MLB The Show 25, WWE 2K25 et bien plus

3 heures ago Alex Lopez
Samsung changes Galaxy Store revenue share model, offers developers an 80%/20% split

Samsung augmente la part des développeurs sur Galaxy Store : 80/20% dès le 15 mai

3 heures ago Romain Barry