New Kibana Vulnerabilities Allow Attackers to Embed Malicious Scripts
2025/12/19 gbhackers — Elastic が発表したのは、Kibana の複数バージョンに影響を及ぼす、深刻なクロスサイト・スクリプティング (XSS) の脆弱性に対処する重要なセキュリティ・アップデートである。この脆弱性 CVE-2025-68385 を悪用する認証済みの攻撃者は、他のユーザーに表示される Web ページに悪意あるスクリプトを挿入できるようになる。この欠陥は、Kibana の Vega 可視化コンポーネントを含む Web ページ生成時における入力値のサニタイズ (無効化) 処理が不適切なことに起因する。この脆弱性を悪用する攻撃者により、XSS 攻撃を防ぐために設計された従来のセキュリティ対策が回避される恐れがある。
Continue reading “Elastic Kibana の脆弱性 CVE-2025-68385 が FIX:認証済み攻撃者による XSS の恐れ”Kibana Vulnerabilities Expose Systems to SSRF and XSS Attacks
2025/11/13 gbhackers — Elastic が公表したのは、Kibana の Origin 検証のエラーに対応するセキュリティ・アドバイザリである。このエラーにより、システムがサーバサイド・リクエスト・フォージェリ (SSRF) 攻撃にさらされる可能性がある。この脆弱性 CVE-2025-37734 は Kibana の複数バージョンに影響を与えており、それらのデプロイメントに対する速やかなパッチ適用が求められている。
Continue reading “Kibana AI Assistant の脆弱性 CVE-2025-37734 が FIX:SSRF 攻撃の可能性”Kibana CrowdStrike Connector Flaw Exposes Sensitive Credentials
2025/10/07 gbhackers — Kibana CrowdStrike コネクタに存在するセキュリティ上の脆弱性 CVE-2025-37728 (CVSS v3.1:5.4:Medium) により、CrowdStrike の認証情報に攻撃者がアクセスする恐れがある。この脆弱性が影響を及ぼす範囲は、Kibana の複数バージョンにまたがり、それぞれのデプロイメントにおいて認証情報の漏洩の可能性がある。すでに Elastic は、アップデートをリリースし、この問題に対処している。ユーザーに対して強く推奨されるのは、速やかにアップグレードすることである。
Critical Kibana Flaws Enable Heap Corruption and Remote Code Execution
2025/06/25 gbhackers — Elastic Stack の Kibana に、セキュリティ脆弱性 CVE-2025-2135 (CVSS:9.9:Critical) が発見された。この人気のデータ可視化プラットフォームに、ヒープ破損/リモート・コード実行の可能性が生じるため、セルフホスト/クラウド・ユーザーの、いずれにおいても速やかな対応が必要とされる。
Continue reading “Elastic Kibana の脆弱性 CVE-2025-2135 (CVSS:9.9) が FIX:ヒープ破損/RCE の可能性”Severe Kibana Flaw Allowed Attackers to Run Arbitrary Code
2025/05/07 gbhackers — Elastic Kibana プラットフォームに発見された、新たなセキュリティ脆弱性により、数千の企業がリスクにさらされている。この脆弱性の悪用に成功した攻撃者は、標的とするシステム上において、任意のコード実行の可能性を手にする。この脆弱性 CVE-2025-25014 の CVSS スコアは 9.1 と非常に高いため、ユーザー組織に求められるのは、速やかなデプロイメントの更新となる。Elastic のアナウンスメント (ESA-2025-07) によると、脆弱性 CVE-2025-25014 はプロトタイプ汚染に起因するものであり、攻撃者に対し、リモートからの任意のコード実行を許す可能性があるという。
Continue reading “Elastic Kibana の脆弱性 CVE-2025-25014 (CVSS:9.1) :任意のコード実行にいたる恐れ”Kibana Code Injection Vulnerability: Prototype Pollution Threat (CVE-2024-12556)
2025/04/09 SecurityOnline — Elasticsearch が提供する、人気の OSS データ可視化フロントエンド Kibana に、新たに発見された脆弱性 CVE-2024-12556 (CVSS:8.7) には、特定の状況下でリモート・コード・インジェクションを許す可能性がある。この脆弱性は、プロトタイプ汚染の問題に起因するものであり、パス・トラバーサルと無制限のファイル・アップロードが組み合わされると、脆弱な Kibana 環境内で攻撃者にコード実行を許す可能性が生じる。
Continue reading “Kibana の脆弱性 CVE-2024-12556 が FIX:コード・インジェクションの恐れ”CVE-2025-25012 (CVSS 9.9): Critical Code Execution Vulnerability Patched in Elastic Kibana
2025/03/05 SecurityOnline — Elastic におけるデータの探索と視覚化のプラットフォーム Kibana の、深刻な脆弱性に対処するセキュリティ・アップデートがリリースされた。この脆弱性 CVE-2025-25012 (CVSS:9.9) の悪用に成功した攻撃者は、脆弱なシステム上で任意のコード実行の可能性を手にする。
Continue reading “Elastic Kibana の脆弱性 CVE-2025-25012 (CVSS 9.9) が FIX:任意のコード実行の可能性”CVE-2024-43707: Kibana Patches High Severity Vulnerability Exposing Sensitive Information
2025/01/23 SecurityOnline — データ視覚化/探索のための OSS ツール Kibana がリリースしたセキュリティ・アップデートは、2つの脆弱性 CVE-2024-43707/CVE-2024-43710 に対処するものだ。すべてのユーザーに推奨されるのは、これらの脆弱性が修正されたバージョン 8.15.0へと、直ちにアップグレードすることである。
Continue reading “Kibana の脆弱性 CVE-2024-43707/43710 が FIX:情報漏えい/SSRF の可能性”Critical Kibana Flaws (CVE-2024-37288, CVE-2024-37285) Expose Systems to Arbitrary Code Execution
2024/09/08 SecurityOnline — データの視覚化/分析のプラットフォームとして人気を博す、OSS プラットフォームの Kibana を開発する Elastic が発行したアドバイザリは、ユーザーに対してバージョン 8.15.1 への即時アップデートを促す重要なものである。2つの脆弱性 CVE-2024-37288/CVE-2024-37285 の悪用に成功した攻撃者は、影響を受けるシステムで任意のコードを実行し、システムが完全に侵害する可能性を手にする。
Continue reading “Kibana の深刻な脆弱性 CVE-2024-37288/37285 が FIX:任意のコード実行の恐れ”CVE-2024-37287 (CVSS 9.9): Urgent Kibana Patch for Severe Security Vulnerability
2024/08/06 SecurityOnline — Elastic Team は、人気の OSS データ可視化/探索ツール Kibana に対する、重要なセキュリティ・アップデートを発表した。このアップデートは、プロトタイプ汚染の脆弱性 CVE-2024-37287 (CVSS:9.9) に対処したものだ。この欠陥が悪用されると、攻撃者に任意のコードを実行される可能性があり、Kibana の自己管理およびクラウドベース・インスタンスに重大なリスクがもたらされる。
Continue reading “Elastic Kibana の脆弱性 CVE-2024-37287 (CVSS 9.9) が FIX:直ちにアップデートを!”3CX data exposed, third-party to blame
2023/06/20 SecurityAffairs — サイバー攻撃の被害者を嘲笑うべきではないが、「初めて騙されたのなら相手が悪いが、続けて騙されたのなら自分が悪い」という言葉が、昔から繰り返して使われてきたのには、なんらかの理由があるのだろう。2023年の初めに、北朝鮮のハッカーと思われる人物が 3CX にサプライチェーン攻撃を仕掛け、同社のソフトウェアを使用してデバイス上にマルウェアをばらまいた。
Continue reading “3CX のデータ漏洩:Elasticsearch/Kibana のオープンなインスタンスが原因だったのか?”Top 12 Security Flaws Russian Spy Hackers Are Exploiting in the Wild
2021/05/08 TheHackerNews — 英国と米国の情報機関が、5月7日に共同で発表した勧告によると、ロシアの Foreign Intelligence Service (SVR) と密接に関連するサイバー工作員たちは、これまでに公開された脆弱性に対応するかたちで、その戦術を変更しているようだ。
Continue reading “ロシアン・ハッカーたちが悪用する脆弱性 Top-12 とは?”
IoT OT Security News 