Kibanaに新たなXSS脆弱性が発見
Elasticは、Kibanaに存在する深刻なクロスサイトスクリプティング(XSS)の脆弱性に対処するため、重要なセキュリティアップデートをリリースしました。この脆弱性は「CVE-2025-68385」として追跡されており、認証された攻撃者が他のユーザーに提供されるウェブページに悪意のあるスクリプトを埋め込むことを可能にします。
脆弱性の詳細
この欠陥は、KibanaのVega可視化コンポーネント内におけるウェブページ生成時の不適切な入力無害化に起因します。攻撃者は既存のXSS対策を迂回でき、埋め込まれた悪意のあるスクリプトは、そのコンテンツを閲覧するユーザーのブラウザで実行されます。これにより、機密データの漏洩やセッション情報の侵害につながる可能性があります。この脆弱性は「CWE-79 (Cross-site Scripting)」として分類され、Vegaメソッド実装全体に影響を与えます。攻撃には認証が必要ですが、同じKibanaインスタンスにアクセスする複数のユーザーに影響が及ぶため、その影響は重大です。
影響を受けるバージョン
この脆弱性は、広範囲にわたるKibanaバージョンに影響を与えます。
- 7.xブランチの全バージョン
- 8.xシリーズ: 8.0.0から8.19.8まで
- 9.xブランチ: 9.0.0から9.1.8まで、および9.2.0から9.2.2まで
Elasticはこの脆弱性に対し、CVSSv3.1スコア7.2(高)を割り当てました。これは、ネットワークベースの攻撃が可能で、悪用が容易な低い複雑性、そして初期認証後のユーザー操作が不要であるといった要因を反映しています。機密性および整合性が複数のシステムで侵害される可能性があります。
推奨される対策
Elasticは、この問題を解決するためのパッチ済みバージョンをリリースしました。組織は、直ちに以下のKibanaバージョンにアップグレードする必要があります。
- Kibana 8.19.9
- Kibana 9.1.9
- Kibana 9.2.3
これらのバージョンには、Vega可視化における悪意のある入力の適切な無害化とXSS保護の整合性回復に必要な修正が含まれています。セキュリティチームは、Kibanaのデプロイメントをできるだけ早くパッチ適用することを優先すべきです。また、組織は、認証済みユーザーによって作成された疑わしい可視化やコンテンツがないかKibanaインスタンスを確認し、ネットワークセグメンテーションを実装し、信頼できるユーザーにKibanaへのアクセスを制限することで、アップグレード準備中の追加保護を提供できます。