[TLP:CLEAR] Elastic Kibana opravuje kritickou zranitelnost
Elastic Kibana verzemi 8.14.2 a 7.17.23 opravuje kritickou zranitelnost. V případě, že nelze provést aktualizace, společnost pro zmírnění dopadu doporučuje provést kontrolu zabezpečení uživatelských oprávnění, dále lze vypnout funkce Connector Actions a Machine Learning, pokud nejsou vyžadovány [2].
Autentizovanému vzdálenému útočníkovi s přístupem k funkcím konektorů Machine Learning a Alerting a s přístupem k zápisu do interních indexů Machine Learning je umožněno spustit "prototype pollution" [1] zranitelnost a vykonat spuštění libovolného kódu [2].
Zranitelnost se nachází v produktu Kibana ve verzích (>=8.0.0 AND <8.14.2) OR (>=7.7.0 AND <7.17.23).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-37287 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1321: Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 6. 8. 2024.