データ可視化ツール「Kibana」に脆弱性 - 修正版が公開

Elasticが提供するデータ可視化ツール「Kibana」に脆弱性が明らかとなった。アップデートで修正されており、関連するAPIキーなどがある場合は削除や無効化するよう求めている。

ロール「reporting_user」を利用するよう設定した場合、不備により権限の昇格が可能となる脆弱性「CVE-2025-25010」が明らかとなったもの。

通常はアクセスが制限されているが、脆弱性により、すべての「Kibana Spaces」へアクセスしてデータを読み取り、レポートの生成が可能となるという。

ただし、インデックスに設定された権限がバイパスされ、データそのものを不正に閲覧されることはないとしている。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「6.5」、重要度は上から3番目にあたる「中（Medium）」と評価されている。

脆弱性の判明を受けてElasticは、修正版となる「Kibana 9.1.3」「同9.0.6」をリリースした。影響を受けるバージョンの「reporting_user」で作成したAPIキーは、削除するか、無効化するよう求めている。

（Security NEXT - 2025/09/01 ） ツイート

PR

関連記事

連日「Chrome」が緊急アップデート - 前回未修正のゼロデイ脆弱性に対処
Apple、「iOS 16/15」向けにセキュリティ更新 - 悪用脆弱性を解消
Adobe、複数製品向けにアップデート - 深刻な脆弱性を修正
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
「AdGuard Home」に深刻な脆弱性 - 修正版が公開
GitLab、セキュリティアップデートを公開 - 脆弱性15件に対応
Veeam製バックアップ管理ソフトに深刻な脆弱性 - アップデートが公開
前回更新から2日で「Chrome」がアップデート - ゼロデイ脆弱性を緊急修正
ワークフローツール「n8n」の脆弱性悪用に注意喚起 - 米CISA
会議ツール「Zoom」Windows向けクライアントに深刻な脆弱性