Kibanaに重大な脆弱性、コード実行の恐れ(CVE-2025-25014)

Elastic社は2025年5月、可視化ツールKibanaにおける深刻なセキュリティ脆弱性（CVE-2025-25014）についてのセキュリティアドバイザリを公開しました。この脆弱性はCVSSv3.1スコアで9.1 (重大) となり「Prototype Pollution（プロトタイプ汚染）」に分類され、特別に細工されたHTTPリクエストを介して、KibanaのMachine LearningおよびReporting機能を悪用し、任意のコード実行が可能となる極めて危険な内容です。

脆弱性の対象バージョン

• 8.3.0 〜 8.17.5

• 8.18.0

• 9.0.0

脆弱性の対策バージョン

• 8.17.6

• 8.18.1

• 9.0.1

Prototype Pollutionとは？

「Prototype Pollution」は、JavaScriptベースのアプリケーションにおける特有の脆弱性で、Object.prototype などのプロトタイプチェーンを意図的に操作することで、アプリケーション全体の振る舞いを変更させる攻撃です。

この脆弱性が悪用されると

• アプリケーションのセキュリティチェックを回避できる

• 本来無効であるはずのオプションを有効化できる

• JavaScriptエンジン上で任意コードを実行するトリガーを仕込む

など、深刻な影響が生じることがあります。KibanaのMachine LearningやReporting機能では、リクエストのパラメータをJSONとして受け取る場面が多く、これらの機構を迂回した汚染が成立することで、実行環境への攻撃が可能になります。

対象環境と影響条件

影響を受ける環境

• 自社ホスティング（オンプレミス）環境

• Elastic Cloud上のKibana

条件

• Machine Learning機能が有効

• Reporting機能が有効

上記両方が有効である場合に限り、攻撃が成立します。

アップグレードできない場合の緊急対策

パターン①：Machine Learning機能を無効化

# kibana.yml に以下を追加
xpack.ml.enabled: false

xpack.ml.ad.enabled: false

パターン②：Reporting機能を無効化

# kibana.yml に以下を追加
xpack.reporting.enabled: false

関連記事

Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 Kibanaでリモート実行が可能な危険度の高い脆弱性(CVE-2025-25012) Kibanaに重大な脆弱性(CVE-2024-37288、CVE-2024-37285) Kibanaに深刻な脆弱性、対象者はアップデートを(CVE-2024-12556) EDR 製品 比較 9選 製品タイプや導入時の注意点も解説 主要なLLMに有効なプロンプト インジェクション「Policy Puppetry」-サイバー攻撃への悪用が容易 Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302) MongoDB、複数のDoS・認証バイパス 脆弱性の修正パッチを公開 PHPのLivewireで108万件利用されているライブラリ Voltで脆弱性(CVE-2025-27517)