漏洞类型：反序列化

漏洞等级：严重(9.9)

所属厂商：Elastic N.V.

漏洞描述：Elastic Kibana存在一个反序列化漏洞，在使用Elastic Security 的内置 AI 工具并配置了Amazon Bedrock 连接器时，该漏洞会导致在 Kibana尝试解析包含构建的有效负载的 YAML 文档时执行任意代码。漏洞编号：CVE-2024-37288，漏洞危害等级：严重。

修复建议：厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：Elastic Kibana >= 8.15.1。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

参考资料：https://discuss.elastic.co/t/kibana-8-15-1-security-update-esa-2024-27-esa-2024-28/366119
https://securityonline.info/critical-kibana-flaws-cve-2024-37288-cve-2024-37285-expose-systems-to-arbitrary-code-execution/?&web_view=true