A Elastic lançou correções para a vulnerabilidade de Cross-Site scripting representada pelo CVE-2025-68385, que permitia a utilizadores autenticados injetarem código javascript noutros utilizadores, particularmente na geração de páginas web através co componente kibana Vega visualization. Tem um CVSS score de 7.2, constituindo severidade alta.

Versões afetadas

Branch 7.x

Branch 8.00 até à 8.19.9

Branch 9.0.0 até à 9.1.8

Branch 9.2.0 até à 9.2.2

Versões corrigidas

8.19.9

9.1.9

9.2.3

Correção

• Atualizar para as versões corrigidas

• Caso não seja possível fazer a atualização, avançar para outras medidas de correção

Outras medidas de correção

• Configurar as visualizações de forma segura

• Monitorizar o conteúdo criado por utilizadores autenticados

• Limitar o acesso ao kibana por parte de utilizadores de confiança

• Segmentar a rede onde o kibana está inserido

• Configurar manualmente o ficheiro kibana.yaml: set vis_type_vega.enabled: false

TTP's

T1059.007

Tags: <script; document; javascript; vis_type_vega

Resposta a Incidentes / Deteção

Yara

rule Kibana_Vega_XSS

{

meta:

description = "High-confidence Vega XSS detection"

severity = "critical"

strings:

$vega = "vis_type_vega" ascii wide

$script = "<script" nocase ascii wide

$js = "javascript:" nocase ascii wide

$eval = "eval(" nocase ascii wide

$doc = "document." nocase ascii wide

condition:

$vega and ( $script or ( $js and $eval ) or ( $doc and $js ) )

}

Referências

Mais informações: https://secalerts.co/vulnerability/CVE-2025-68385

Advisory da Elastic: https://discuss.elastic.co/t/kibana-8-19-9-9-1-9-and-9-2-3-security-update-esa-2025-34/384182