[TLP:CLEAR] Elastic Kibana opravuje kritickou zranitelnost

Elastic Kibana verzemi 8.14.2 a 7.17.23 opravuje kritickou zranitelnost. V případě, že nelze provést aktualizace, společnost pro zmírnění dopadu doporučuje provést kontrolu zabezpečení uživatelských oprávnění, dále lze vypnout funkce Connector Actions a Machine Learning, pokud nejsou vyžadovány [2].

Elastic Kibana - arbitrary code execution (CVE-2024-37287) CVSS 9.1 (Critical)

Autentizovanému vzdálenému útočníkovi s přístupem k funkcím konektorů Machine Learning a Alerting a s přístupem k zápisu do interních indexů Machine Learning je umožněno spustit "prototype pollution" [1] zranitelnost a vykonat spuštění libovolného kódu [2].

Zranitelnost se nachází v produktu Kibana ve verzích (>=8.0.0 AND <8.14.2) OR (>=7.7.0 AND <7.17.23).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 6. 8. 2024.


Publikovala Michaela Mačalíková dne 15. 8. 2024.

CESNET CERTS Logo