2025年10月7日 Elastic は Kibana と Elasticsearch に影響する 5 件の脆弱性を公表し、修正版をリリースしました。中でも Kibana のケース管理における保存型 XSS「CVE-2025-25009」(CVSS 8.7)が最もリスクが高く、権限を持つ攻撃者が細工したファイルをアップロードするだけでダッシュボード上で任意スクリプトが実行されるおそれがあります。運用中の環境は早急なアップデートが推奨されます。
主な脆弱性
最重要は「CVE-2025-25009」。Kibana のケース(Cases)にファイルを添付できる権限があるユーザーが、悪意あるファイルを上げるとページにスクリプトが埋め込まれ、以後そのページを開くたびに JavaScript が実行されます。セッション乗っ取り、データ窃取、さらなる権限昇格の踏み台になる危険があります。
Kibana ではこのほか、可視化エンジン Vega の入力処理不備による XSS「CVE-2025-25017」(CVSS 8.2)、Fleet/Integrations 管理画面の入力型検証不備による保存型 XSS「CVE-2025-25018」(CVSS 8.7)も判明しています。
いずれもダッシュボード上で埋め込まれたコードが実行されるため、被害が持続・拡大しやすいのが特徴です。
Elasticsearch 側では、監査ログが特定条件下でリクエストボディを記録してしまう「CVE-2025-37727」(CVSS 5.3)が公表されました。監査(xpack.security.audit.enabled)と認証成功イベント、さらにボディ出力(emit_request_body: true)を同時に有効化している場合、再インデックス API の利用時などに機密データがログへ出力される可能性があります。
また、Kibana の CrowdStrike コネクタでは、スペースを跨いで資格情報が閲覧され得る「CVE-2025-37728」(CVSS 5.4)が修正されています。運用している場合は優先度高めに対応してください。
影響範囲(主に Kibana)
保存型 XSS「CVE-2025-25009」は以下の Kibana バージョンに影響します。
-
7.x:7.17.29 以前のすべて
-
8.x:8.0.0〜8.18.7
-
8.19.x:8.19.0〜8.19.4
-
9.0.x:9.0.0〜9.0.7
-
9.1.x:9.1.0〜9.1.4
同時に公表された他の Kibana/Elasticsearch の脆弱性も、概ね同系統の範囲で影響します(Elastic の一連のセキュリティアドバイザリに準拠)。
修正版(アップデート先)
Elastic は以下へのアップグレードを推奨しています(Kibana/Elasticsearch 共通の修正版として案内)。
-
8.18.8
-
8.19.5
-
9.0.8
-
9.1.5
Kibana の「CVE-2025-25009」については、公式アナウンス(ESA-2025-20)でも上記各系のパッチが明記されています。








