漏洞类型:反序列化
漏洞等级:严重(9.9)
所属厂商:Elastic N.V.
漏洞描述:Elastic Kibana存在一个反序列化漏洞,在使用Elastic Security 的内置 AI 工具并配置了Amazon Bedrock 连接器时,该漏洞会导致在 Kibana尝试解析包含构建的有效负载的 YAML 文档时执行任意代码。漏洞编号:CVE-2024-37288,漏洞危害等级:严重。
修复建议:厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:Elastic Kibana >= 8.15.1。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
参考资料:https://discuss.elastic.co/t/kibana-8-15-1-security-update-esa-2024-27-esa-2024-28/366119
https://securityonline.info/critical-kibana-flaws-cve-2024-37288-cve-2024-37285-expose-systems-to-arbitrary-code-execution/?&web_view=true