Vulnerabilidades da Semana #016

⚠️ Alerta de segurança: vulnerabilidades críticas no Kibana, OpenCTI, Webmin e ADOdb (até CVSS 10) expõem risco de RCE, SQLi e escalonamento de privilégios. Microsoft também alerta sobre falhas em configurações padrão do Kubernetes.

Wagner Souza

5/11/20253 min read

CVE-2025-25014 | CVSS 9.1

Vulnerabilidades no Kibana

A Elastic emitiu um alerta crítico de segurança para o Kibana, alertando os usuários sobre uma vulnerabilidade identificada como CVE-2025-25014 (CVSS 9.1)[1]. A falha decorre de uma vulnerabilidade de prototype pollution que pode levar à execução arbitrária de código por meio de requisições HTTP especialmente criadas para os endpoints de Machine Learning e Reporting do Kibana.

Vulnerabilidades de prototype pollution manipulam o protótipo do objeto JavaScript subjacente, permitindo que invasores injetem propriedades maliciosas que podem sobrepor-se à lógica da aplicação levando a execução remota de código (RCE).

A vulnerabilidade afeta as versões do Kibana:

  • 8.3.0 a 8.17.5

  • 8.18.0

  • 9.0.0

Tanto as implantações self-hosted quanto as implantações da Elastic Cloud são vulneráveis se tiverem os recursos de Machine Learning e Reporting habilitados.

A Elastic recomenda que os usuários atualizem imediatamente para as seguintes versões corrigidas:

  • 8.17.6

  • 8.18.1

  • 9.0.1

Search

Servidores na internet com o serviço do Kibana:

🔗FOFA -> https://en.fofa.info/result?qbase64=YXBwPSJLaWJhbmEi

🔗 ZoomEye -> https://www.zoomeye.ai/searchResult?q=YXBwPSJLaWJhbmEi&from=25050701

1 - https://discuss.elastic.co/t/kibana-8-17-6-8-18-1-or-9-0-1-security-update-esa-2025-07/377868

CVE-2025-24977 | CVSS 9.1 (Critical)

Vulnerabilidade no OpenCTI

Uma vulnerabilidade crítica, notificada na CVE-2025-24977[1], nas versões do OpenCTI, anteriores à 6.4.11, permite que usuários com capacidade de gerenciamento de personalizações executem comandos arbitrários no sistema host por meio do uso indevido de webhooks, o que pode levar ao comprometimento total da infraestrutura.

Esse uso indevido pode conceder ao invasor um shell root dentro de um contêiner, expondo secrets internos do lado do servidor e potencialmente comprometendo toda a infraestrutura.

Ações recomendadas:

  • Atualize para o OpenCTI versão 6.4.11 ou posterior imediatamente.

  • Revise as permissões do usuário, especialmente para o recurso.

  • Audite as configurações do webhook para garantir que não sejam suscetíveis a uso indevido.

1 - https://github.com/OpenCTI-Platform/opencti/security/advisories/GHSA-mf88-g2wq-p7qm

CVE-2025-2774 | CVSS 8.8

Vulnerabilidade no Webmin

O Webmin apresenta uma vulnerabilidade de segurança crítica, notificada como CVE-2025-2774 CVSS 8.8[1], onde é possível realizar escalação de privilégios por meio de CRLF Injection executando código arbitrário no contexto de root.

A vulnerabilidade foi corrigida na versão 2.302[2] do Webmin. Recomenda-se fortemente que os usuários atualizem para esta versão o mais rápido possível para mitigar o risco de exploração.

1 - https://www.zerodayinitiative.com/advisories/ZDI-25-282/

2 - https://webmin.com/download/

CVE-2025-46337 | CVSS 10.0

Vulnerabilidade de SQLi na biblioteca PHP ADOdb

Uma falha crítica de segurança foi divulgada no ADOdb, a biblioteca de abstração de banco de dados PHP. Notificada como CVE-2025-46337 (CVSS 10.0)[1], a vulnerabilidade reside no método pg_insert_id() do driver PostgreSQL, permitindo que invasores executem comandos SQL arbitrários em aplicativos vulneráveis.

A vulnerabilidade foi corrigida na versão 5.22.9 do ADOdb, especificamente no commit 11107d6[2]. Recomenda-se fortemente que os desenvolvedores atualizem imediatamente para eliminar o risco da vulnerabilidade.

1 - https://github.com/ADOdb/ADOdb/security/advisories/GHSA-8x27-jwjr-8545

2 - https://github.com/ADOdb/ADOdb/commit/11107d6d6e5160b62e05dff8a3a2678cf0e3a426

Microsoft emite alerta de segurança em configurações do Kubernetes

A Microsoft alerta sobre os riscos de segurança apresentados nas configurações padrão em implantações do Kubernetes, especialmente aquelas que utilizam gráficos Helm prontos para uso, que podem expor publicamente dados confidenciais. Em muitos casos, esses gráficos Helm não exigiam autenticação, deixavam portas exploráveis abertas e usavam senhas fracas ou codificadas, fáceis de quebrar.

Um relatório publicado pelos pesquisadores de segurança Michael Katchinskiy e Yossi Weizman[1], do Microsoft Defender for Cloud Research, destaca três casos como exemplos de um problema de segurança mais amplo que coloca os worklloads do Kubernetes em risco.

Os pesquisadores destacam três casos de gráficos Helm que colocam ambientes Kubernetes em risco de ataques, resumidos a seguir.

  • Apache Pinot: Expõe serviços principais (pinot-controller e pinot-broker) por meio de serviços do Kubernetes LoadBalancer sem qualquer autenticação.

  • Meshery: O registro público é permitido a partir do IP exposto, permitindo que qualquer pessoa se registre e tenha acesso às operações do cluster.

  • Selenium Grid: Um NodePort expõe o serviço em todos os nós de um cluster, dependendo apenas de regras de firewall externas para proteção. O problema não afeta o gráfico oficial do Helm, mas muitos projetos do GitHub amplamente referenciados.

Para mitigar os riscos, a Microsoft recomenda revisar cuidadosamente a configuração padrão dos gráficos Helm para avaliá-la sob a perspectiva de segurança, garantindo que inclua autenticação e isolamento de rede. Além disso, recomenda-se realizar verificações regulares em busca de configurações incorretas que exponham as interfaces de workload publicamente e monitorar de perto os contêineres em busca de atividades suspeitas.

1 - https://techcommunity.microsoft.com/blog/microsoftdefendercloudblog/the-risk-of-default-configuration-how-out-of-the-box-helm-charts-can-breach-your/4409560

Veja no Youtube