Kibana Code Injection Vulnerability: Prototype Pollution Threat (CVE-2024-12556)
2025/04/09 SecurityOnline — Elasticsearch が提供する、人気の OSS データ可視化フロントエンド Kibana に、新たに発見された脆弱性 CVE-2024-12556 (CVSS:8.7) には、特定の状況下でリモート・コード・インジェクションを許す可能性がある。この脆弱性は、プロトタイプ汚染の問題に起因するものであり、パス・トラバーサルと無制限のファイル・アップロードが組み合わされると、脆弱な Kibana 環境内で攻撃者にコード実行を許す可能性が生じる。
プロトタイプ汚染とは、JavaScript および Node.js アプリケーションに特有の脆弱性である。具体的に言うと、オブジェクトのプロトタイプを操作する攻撃者は、存在すべきではないプロパティの導入に加えて、上書きを可能にする。それにより、下流の関数が予期しない動作をし、最悪の場合には、任意のコード実行へといたる可能性がある。
Kibana のケースでは、この脆弱性が、ファイルのアップロードやパス・トラバーサルといった攻撃と連鎖すると、さらに危険度が増すという。攻撃者は、以下の攻撃を実行できる。
- 悪意のコンテンツを取り込んだファイルのアップロード。
- ディレクトリ・トラバースによる意図しない場所への書込。
- オブジェクトのプロトタイプを汚染によるサーバ・ロジックの混乱。
- 挿入されたコードの実行。
Kibana のセキュリティ・アドバイザリには、「Kibana におけるプロトタイプ汚染は、パス・トラバーサルと連鎖する無制限のファイル・アップロードにより、コード・インジェクションへといたる可能性がある」と記されている。
この問題が影響を及ぼす範囲は、Kibana のバージョン 8.16.1〜8.17.1 である。ユーザーに強く推奨されるのは、バージョン 8.16.4/8.17.2 への速やかなアップグレードによるリスクの軽減である。
また、速やかにアップグレードが不可能なユーザーのために、一時的な緩和策が用意されている。
Integration Assistant の無効化:バージョン 8.16.1 を継続して使用する必要のあるユーザーは、kibana.yml コンフィグ・ファイルに、 “xpack.integration_assistant.enabled: false” という行を追加することで、Integration Assistant を無効化できる。
Elastic Kibana に、CVSS:8.7 の脆弱性 CVE-2024-12556 が発生しています。ご利用のチームは、アップデートをご検討ください。なお、2025/03/05 に投稿した「Elastic Kibana の脆弱性 CVE-2025-25012 (CVSS 9.9) が FIX:任意のコード実行の可能性」も、本脆弱性と同じく、プロトタイプ汚染の問題に起因する脆弱性です。よろしければ、Kibana で検索/プロトタイプ汚染で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.