Elastic修補Elasticsearch、Kibana與Beats多項漏洞,最高可導致資訊外洩與SSRF
漏洞概要
Elastic於1月14日發布安全更新,修補Elasticsearch、Kibana與Beats元件共多項資安漏洞,影響8.x與9.x多個版本。
詳細漏洞說明
- Elasticsearch:所使用的LZ4 Java函式庫存在高風險資訊外洩漏洞,可能導致敏感資料被未授權讀取。
- Kibana:連接器與Vega視覺化元件存在伺服器端請求偽造(SSRF)與任意檔案讀取風險,部分版本亦存在跨站腳本(XSS)與任意程式碼執行漏洞,如CVE-2025-25012。
- Beats:雖未明確提及,但作為Elastic Stack組成部分,其安全更新亦涵蓋於本次整體修補中。
風險與建議
官方呼籲系統管理員儘速升級至最新版本,以降低敏感資料外洩、服務中斷與惡意指令碼攻擊風險。