A Elastic lançou uma atualização urgente para corrigir uma falha de segurança crítica no Kibana, a conhecida plataforma de visualização de dados para Elasticsearch. A vulnerabilidade, catalogada como CVE-2025-25012, possui uma pontuação CVSS de 9.9 em 10, destacando sua gravidade e potencial de impacto. O problema é classificado como uma falha de Prototype Pollution, uma técnica de ataque que permite que invasores manipulem objetos e propriedades no JavaScript de uma aplicação, o que pode levar a acessos não autorizados, escalonamento de privilégios, negação de serviço e até mesmo execução remota de código.

Segundo a Elastic, a falha permite que um atacante explore o problema através do upload de um arquivo malicioso combinado com requisições HTTP especialmente elaboradas. A vulnerabilidade afeta todas as versões do Kibana entre 8.15.0 e 8.17.3, sendo corrigida apenas na versão 8.17.3. A exploração da falha varia de acordo com a versão instalada. Em versões do Kibana de 8.15.0 até 8.17.1, a vulnerabilidade só pode ser explorada por usuários com o papel de Viewer. Já nas versões 8.17.1 e 8.17.2, é necessário que o usuário tenha privilégios específicos, incluindo permissões fleet-all, integrations-all e actions:execute-advanced-connectors.

A Elastic orienta todos os usuários a atualizarem suas instalações para a versão 8.17.3 o mais rápido possível, reduzindo o risco de exploração ativa. Essa não é a primeira vez que falhas graves afetam o Kibana. Em agosto de 2024, a Elastic corrigiu uma outra vulnerabilidade de Prototype Pollution, registrada como CVE-2024-37287, que também permitia execução remota de código. Em setembro de 2024, a empresa lançou atualizações para resolver duas falhas graves de desserialização (CVE-2024-37288 e CVE-2024-37285), ambas com alto potencial de exploração.