HackerNews 编译,转载请注明出处:
Elastic 近日发布了安全更新,以解决影响 Kibana(一款用于 Elasticsearch 的数据可视化仪表板软件)的一个严重安全漏洞,该漏洞可能导致任意代码执行。
该漏洞被追踪为 CVE-2025-25012,其 CVSS 评分为 9.9(满分 10.0),被描述为一种原型污染的情况。
公司周三发布的一份咨询报告中表示:“Kibana 中的原型污染可通过精心制作的文件上传和特定的 HTTP 请求来实现任意代码执行。”
原型污染漏洞是一种安全缺陷,允许攻击者操纵应用程序的 JavaScript 对象和属性,可能导致未经授权的数据访问、特权升级、拒绝服务或远程代码执行。
该漏洞影响 Kibana 8.15.0 到 8.17.3 之间的所有版本,已在 8.17.3 版本中得到解决。
网络安全
具体而言,在 Kibana 8.15.0 及以上版本中,只有具有 Viewer 角色的用户才会受到该漏洞的影响。在 Kibana 8.17.1 和 8.17.2 版本中,只有具有以下所有权限的用户才会受到该漏洞的影响 –
– fleet-all
– integrations-all
– actions:execute-advanced-connectors
建议用户尽快采取措施,应用最新的修复程序,以防止潜在威胁。如果无法立即更新,建议用户在 Kibana 的配置(“kibana.yml”)中将 Integration Assistant 功能标记设置为 false(“xpack.integration_assistant.enabled: false”)。
2024 年 8 月,Elastic 解决了 Kibana 中另一个严重的原型污染漏洞(CVE-2024-37287,CVSS 评分:9.9),该漏洞也可能导致代码执行。一个月后,它又解决了两个严重的反序列化漏洞(CVE-2024-37288,CVSS 评分:9.9 和 CVE-2024-37285,CVSS 评分:9.1),这些漏洞也可能允许任意代码执行。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
