La vulnerabilidad afecta a las versiones de Kibana:<\/p>\n\n\n\n
Se ha reportado una nueva vulnerabilidad cr\u00edtica en Kibana de Elastic, la misma fue identificada como CVE-2025-25014, con una puntuaci\u00f3n CVSS de 9.1. Esta falla se deriva de una vulnerabilidad de contaminaci\u00f3n de prototipos (Prototype Pollution DOM) que puede provocar la ejecuci\u00f3n de c\u00f3digo arbitrario mediante solicitudes HTTP especialmente dise\u00f1adas dirigidas a los endpoints de aprendizaje autom\u00e1tico e informes de Kibana. <\/p>\n\n\n\n
Las vulnerabilidades\u00a0de contaminaci\u00f3n de prototipos (Prototype Pollution)\u00a0manipulan el prototipo del objeto (DOM) en el JavaScript subyacente, lo que permite a los atacantes inyectar propiedades maliciosas que pueden anular la l\u00f3gica de la aplicaci\u00f3n. En este caso, la vulnerabilidad escala a la ejecuci\u00f3n remota de c\u00f3digo, el peor escenario posible para entornos de monitoreo que suelen gestionar telemetr\u00eda y an\u00e1lisis sensibles.<\/p>\n\n\n\n
Tanto las implementaciones autohospedadas como las de Elastic Cloud son vulnerables si tienen habilitadas las funciones de aprendizaje autom\u00e1tico e informes.<\/p>\n\n\n\n
Para los usuarios que no pueden actualizar, Elastic ofrece dos rutas de mitigaci\u00f3n:<\/p>\n\n\n\n
xpack.ml.enabled: false<\/strong><\/p>\n\n\n\n Alternativamente, para deshabilitar solo la detecci\u00f3n de anomal\u00edas:<\/p>\n\n\n\n xpack.ml.ad.enabled: false<\/strong><\/p>\n\n\n\n xpack.reporting.enabled: false<\/strong><\/p>\n\n\n\n El equipo de Elastic recomienda aplicar actualizar inmediatamente a las siguiente versiones corregidas: <\/p>\n\n\n\n Para encontrar informaci\u00f3n sobre el proceso de actualizaci\u00f3n dirijase al siguiente enlace: https:\/\/www.elastic.co\/docs\/deploy-manage\/upgrade\/deployment-or-cluster<\/p>\n\n\n\n\n
Soluci\u00f3n<\/h2>\n\n\n\n
\n
Informaci\u00f3n adicional:<\/h2>\n\n\n\n