[TLP:CLEAR] Elastic Kibana opravuje 2 kritické zranitelnosti
Elastic Kibana verzí 8.15.1 opravuje 2 kritické zranitelnosti. Pokud aktualizace není možná, lze u zranitelnosti CVE-2024-37288 problém zmírnit zakázáním Integračního asistenta pomocí nastavení 'xpack.integration_assistant.enabled: false' v konfiguračním souboru kibana.yml [1].
Autentizovanému vzdálenému útočníkovi je umožněno vykonat spuštění libovolného kódu, pokud se nástroj Kibana pokusí analyzovat dokument YAML obsahující škodlivý payload. Tato zranitelnost se týká pouze uživatelů, kteří používají integrované nástroje umělé inteligence Elastic Security a mají nakonfigurovaný konektor Amazon Bedrock [1].
Zranitelnost se nachází v produktu Kibana ve verzích ve verzích =8.15.0
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-37288 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 11. 2024.
Autentizovanému vzdálenému útočníkovi, který má kombinaci specifických oprávnění k indexům v Elasticsearch a oprávnění v Kibaně, je umožněno vykonat spuštění libovolného kódu, pokud se nástroj Kibana pokusí analyzovat dokument YAML obsahující škodlivý payload [1].
Zranitelnost se nachází v produktu Elastic Kibana ve verzích ve verzích >=8.10.0 AND <=8.15.0
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-37285 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-CWE-502: at cwe.mitre.org
Zranitelnost byla veřejně oznámena 14. 11. 2024.
Odkazy
Publikovala Michaela Jarošová dne 28. 11. 2024.
