弱點等級
這一次的弱點,被定為 CVE-2024-37287,且為 CVSSv3 等級 9.9 的弱點,為嚴重弱點。
弱點說明
此弱點源自原型污染漏洞,具有機器學習 (ML) 和告警模組功能,以及內部 ML 索引寫入權限的攻擊者,可以利用該漏洞。根據 Elastic Cloud 報告,攻擊者利用此漏洞可以執行任意程式碼,從而構成重大安全風險。
影響範圍
- 自行於地端安裝的 Kibana (Self-managed Kibana)
- 透過 docker image 安裝的 Kibana (Kibana Docker image)
- 雲端的 Kibana (Kibana instances on Elastic Cloud)
- 雲端企業版 Kibana (ECE)
- 雲端 K8s Kibana (ECK)
影響版本
- 8.x < 8.14.2
- 7.x < 7.17.23
結論
強烈建議盡快升級 Kibana 版本,如果在升級遇到問題,歡迎盡速聯絡集先鋒,有專業團隊為您服務。