資料搜尋和分析解決方案業者Elastic推出資料圖像化系統Kibana安全性更新8.15.1版,修補2項重大層級的漏洞CVE-2024-37288、CVE-2024-37285。
根據CVSS風險評分,較為危險的是CVE-2024-37288,這項漏洞發生的原因,在於Kibana的Amazon Bedrock Connector元件當中,存在「解序列化(deserialization)」的弱點,當Kibana嘗試處理含有惡意酬載的YAML檔案,就有可能觸發,使得攻擊者能夠執行任意程式碼,CVSS風險評為9.9分(滿分為10分),影響8.15.0版Kibana。
另一個漏洞CVE-2024-37285也與解序列化有關,攻擊者同樣可藉由特製的YAML檔案觸發,並執行任意程式碼,但利用這項漏洞,攻擊者必須事先得到具備指定權限的惡意使用者帳號,並結合特定的Elasticsearch、Kibana權限,此漏洞的CVSS風險評分為9.1,影響8.10.0至8.15.0版Kibana。
熱門新聞
2024-10-13
2024-10-14
2024-10-13
2024-10-11
2024-10-11
2024-10-12
Advertisement