Vývojári nástroja na vizualizáciu dát Elasticsearch Kibana vydali bezpečnostnú aktualizáciu svojho produktu, ktorá opravuje dve kritické bezpečnostné zraniteľnosti.
Najzávažnejšia kritická bezpečnostná zraniteľnosť s identifikátorom CVE-2024-37288 spočíva v nedostatočnej implementácii bezpečnostných mechanizmov a umožňuje vzdialenému, autentifikovanému útočníkovi s právomocami používateľa prostredníctvom zaslania špeciálne vytvorených YAML súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Zneužitím druhej kritickej bezpečnostnej zraniteľnosti možno vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Bezpečnostná zraniteľnosť s identifikátorom CVE-2024-37288 zasahuje iba systémy s Elastic Security’s built-in AI tools a nakonfigurovaným Amazon Bedrock connector.
Zneužitie zraniteľnosti s identifikátorom CVE-2024-37285 vyžaduje špecifickú konfiguráciu povolení. Detailné informácie môžete nájsť na webovej adrese: https://discuss.elastic.co/t/kibana-8-15-1-security-update-esa-2024-27-esa-2024-28/366119
|
