Multiples vulnérabilités dans Elastic Kibana (13 novembre 2025)

Risques

Falsification de requêtes côté serveur (SSRF)
Injection de code indirecte à distance (XSS)

Systèmes affectés

Kibana versions 9.1.x antérieures à 9.1.7
Kibana versions 9.2.x antérieures à 9.2.1
Kibana versions antérieures à 8.19.7

Résumé

De multiples vulnérabilités ont été découvertes dans Elastic Kibana. Elles permettent à un attaquant de provoquer une falsification de requêtes côté serveur (SSRF) et une injection de code indirecte à distance (XSS).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Elastic ESA-2025-24 du 12 novembre 2025

https://discuss.elastic.co/t/kibana-8-19-7-9-1-7-and-9-2-1-security-update-esa-2025-24/383381

Bulletin de sécurité Elastic ESA-2025-25 du 12 novembre 2025

https://discuss.elastic.co/t/kibana-8-19-7-9-1-7-9-2-1-security-update-esa-2025-25/383379

Référence CVE CVE-2025-37734

https://www.cve.org/CVERecord?id=CVE-2025-37734

Référence CVE CVE-2025-59840

https://www.cve.org/CVERecord?id=CVE-2025-59840

Avis de sécurité