أصدرت شركة Elastic تحديثات أمان لمعالجة ثغرة أمنية خطيرة في برنامج Kibana المخصص لتصور البيانات ضمن Elasticsearch، والتي قد تؤدي إلى تنفيذ تعليمات برمجية عشوائية عن بُعد.
تفاصيل الثغرة الأمنية
معرّف الثغرة: CVE-2025-25012
درجة الخطورة (CVSS): 9.9/10
نوع الثغرة: تلوث النموذج (Prototype Pollution)
أوضحت الشركة في إشعار رسمي أن “تلوث النموذج في Kibana يمكن أن يؤدي إلى تنفيذ تعليمات برمجية عشوائية من خلال تحميل ملف مُصمم خصيصًا وإرسال طلبات HTTP معدّلة.”
ما هي ثغرة تلوث النموذج؟
تُعتبر ثغرة تلوث النموذج (Prototype Pollution) نوعًا من الثغرات الأمنية التي تتيح للمهاجمين التلاعب بكائنات وخصائص JavaScript داخل التطبيق، مما قد يؤدي إلى:
الوصول غير المصرح به إلى البيانات
تصعيد الامتيازات
هجمات رفض الخدمة (DoS)
تنفيذ تعليمات برمجية عن بُعد
الإصدارات المتأثرة والتحديثات
تؤثر هذه الثغرة على جميع إصدارات Kibana بين 8.15.0 و 8.17.3، وتم إصلاحها في الإصدار 8.17.3.
مدى خطورة الاستغلال حسب الإصدار:
في الإصدارات من 8.15.0 إلى 8.17.1: يمكن استغلال الثغرة فقط من قبل المستخدمين الذين لديهم دور Viewer.
في الإصدارات 8.17.1 و 8.17.2: يمكن استغلالها فقط من قبل المستخدمين الذين يمتلكون جميع الامتيازات التالية:
Fleet-all
Integrations-all
Actions:execute-advanced-connectors
إجراءات الحماية الموصى بها
يُنصح المستخدمون بتحديث Kibana إلى الإصدار 8.17.3 في أسرع وقت ممكن لمنع أي استغلال محتمل.
إذا لم يكن التحديث الفوري ممكنًا، يوصى بتعطيل ميزة Integration Assistant عن طريق ضبط الإعداد التالي في ملف kibana.yml:
Xpack.integration_assistant.enabled: false
ثغرات مماثلة في Kibana
في أغسطس 2024، أصلحت Elastic ثغرة خطيرة أخرى من نوع Prototype Pollution في Kibana (CVE-2024-37287)، والتي كانت تحمل درجة CVSS مماثلة (9.9/10).
في سبتمبر 2024، عالجت الشركة ثغرتين خطيرتين من نوع عدم الأمان في فك التسلسل (Deserialization) (CVE-2024-37288 – CVSS 9.9 و CVE-2024-37285 – CVSS 9.1) اللتين قد تؤديان أيضًا إلى تنفيذ تعليمات برمجية عشوائية.
يشار إلى أن هذا التحديث الأمني بالغ الأهمية لحماية مستخدمي Kibana من هجمات الاختراق وتنفيذ التعليمات البرمجية عن بُعد. يُوصى بشدة بتطبيق الإصلاحات الأمنية أو اتخاذ تدابير وقائية لتقليل المخاطر المحتملة.
