文章预览
一、漏洞 概述 漏洞名称 Kibana任意代码执行漏洞 CVE ID CVE-2024-37287 漏洞类型 原型污染 发现时间 2024-08-07 漏洞评分 9.9 漏洞等级 高危 攻击向量 网络 所需权限 低 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Kibana是一个开源的分析与可视化平台,设计用于和 Elasticsearch协作,它允许用户搜索、查看、交互存放在Elasticsearch索引里的数据,并通过各种图表、表格、地图等形式直观地展示数据,从而实现高级的数据分析与可视化。 2024年8月7日,启明星辰集团VSRC监测到Kibana中修复了一个任意代码执行漏洞(CVE-2024-37287),该漏洞的CVSS评分为9.9。 Kibana 8.14.2之前和7.17.23之前版本中,能够访问Kibana中的机器学习(ML)和警报(Alerting)连接器功能,并且拥有对内部机器学习索引的写入权限的威胁者可触发原型污染漏洞,最终导致任意代码执行。成功
………………………………
