Elastic Security divulgou uma falha em Kibana que permite SSRF e XSS em implantações com o componente Observability AI Assistant ativado; a empresa liberou correções e recomenda atualização imediata.
Descoberta e escopo
O problema foi classificado como CVE-2025-37734 pela NVD e documentado no advisory ESA-2025-24 da Elastic Security. Trata‑se de uma falha de validação de origem (origin validation error) no componente Observability AI Assistant de Kibana, que possibilita a falsificação do cabeçalho Origin em pedidos HTTP.
Quais versões são afetadas
A Elastic lista as versões afetadas explicitamente: Kibana 8.12.0 até 8.19.6, 9.1.0 até 9.1.6 e 9.2.0. As versões com correção são Kibana 8.19.7, 9.1.7 e 9.2.1. A empresa informa que implantações que não utilizam o Observability AI Assistant não são afetadas.
Abordagem técnica / vetor e consequências
Segundo o advisory, a vulnerabilidade permite que um agente malicioso forje o cabeçalho Origin para contornar controles que deveriam prevenir solicitações não autorizadas vindas de origens externas. A exploração bem‑sucedida pode induzir Kibana a enviar requisições para destinos internos ou a executar ações não intencionais, abrindo vetores para divulgação de informação, movimentação lateral e encadeamento com outras falhas.
O relatório também menciona possibilidade de ataques de Cross‑Site Scripting (XSS) relacionados ao mesmo componente, ampliando o risco em ambientes web onde Kibana é utilizado como interface.
Severidade e recomendações
A NVD atribuiu CVSS v3.1 4.3 (Medium) ao CVE-2025-37734 conforme mencionado no advisory. Apesar da classificação moderada, a Elastic deixa claro que o impacto operacional pode ser relevante quando o Observability AI Assistant está habilitado em servidores expostos ou com acesso a recursos internos.
- Atualizar imediatamente para Kibana 8.19.7, 9.1.7 ou 9.2.1, conforme aplicável.
- Se a atualização não puder ser aplicada de imediato, desativar o Observability AI Assistant até a correção estar instalada — a Elastic indica que implantações sem o assistente não são afetadas.
- Revisar controles de segmentação de rede e regras de firewall para limitar a capacidade de Kibana alcançar sistemas internos sensíveis.
Quem é afetado / alcance
A falha impacta instalações que executam as versões citadas e que tenham o Observability AI Assistant habilitado. Elastic ressalta que clientes Elastic Cloud Serverless já estavam protegidos por modelo de implantação contínua que aplicou a correção antes da divulgação pública.
Limites das informações
As publicações técnicas consultadas descrevem a natureza da falha, as versões afetadas e as versões corrigidas; as fontes não detalham evidências públicas de exploração ativa ou PoC disponíveis no momento. As publicações também não quantificam números de instâncias potencialmente afetadas.
Repercussão e próximos passos
Equipes de segurança que operam Kibana em ambientes corporativos devem priorizar a verificação de versões e o estado do Observability AI Assistant em seu parque de instâncias. Integração da correção nos processos de change management e testes de regressão são passos recomendados. Onde aplicável, registrar ocorrências no inventário de ativos e atualizar evidências de conformidade (por exemplo, controles de monitoração e segmentação).
Fontes não sugerem atribuições ou explorações em larga escala até o momento; a recomendação técnica imediata permanece a aplicação das versões corrigidas e, quando necessário, a desativação temporária do componente afetado.