Kibanaに深刻な脆弱性、対象者はアップデートを(CVE-2024-12556)

Elastic社は2025年4月、Kibanaのバージョン8.16.1から8.17.1にかけて存在する重大な脆弱性（CVE-2024-12556）について、セキュリティアドバイザリ（ESA-2025-02）を通じて公表しました。この脆弱性は「プロトタイプ汚染（Prototype Pollution）」に起因し、ファイルアップロードの制限不備とパストラバーサルと組み合わさることで、リモートからのコード実行につながる恐れがあります。

 

脆弱性の対象バージョン

Kibana 8.16.1 から 8.17.1

脆弱性の対策バージョン

• Kibana 8.16.4

• Kibana 8.17.2

脆弱性の概要

本脆弱性はJavaScriptおよびNode.jsアプリケーション特有のプロトタイプ汚染に関するもので、不正なオブジェクト操作を通じて、Kibanaの内部ロジックやサーバ挙動に悪影響を与える可能性があります。具体的には、次のような一連の攻撃が可能になります：

• 悪意ある内容を含むファイルのアップロード

• ディレクトリトラバーサルを利用した意図しない場所へのファイル保存

• オブジェクトプロトタイプの汚染による予期しない挙動の誘発

• 最終的な任意コードの実行

このように、複数の要素を組み合わせたチェーン型の攻撃が可能である点が、この脆弱性の深刻さを際立たせています。

すでに商用環境でKibanaを活用している組織では、特に早急な対応が必要です。インターネットに直接公開されているKibana環境は、外部からの攻撃対象となり得るため、アップデートの即時実施、もしくは必要に応じて一時的な機能停止やアクセス制限の導入も検討すべきです。