به تازگی یک آسیبپذیری حیاتی با شناسه CVE-2024-37287 و امتیاز 9.9 در نرمافزار Kibana (ابزار محبوب مصورسازی و کاوش دادههای منبع باز) شناسایی شده است که میتواند امکان اجرای کدهای دلخواه را برای نفوذگران فراهم سازد.
مهاجمان با دسترسی به ویژگیهای رابط یادگیری ماشین (ML) و Alerting و نیز دسترسی نوشتن به ویژگیهای داخلی یادگیری ماشین، میتوانند پس از دسترسی اولیه، اقدام به اجرای کد دلخواه کنند. این باگ در زمان نصب Kibana به صورت Self-Managed در سیستم عامل میزبان ظاهر میشود.
✔️ توصیه شده است که Kibana به نسخههای جدید 8.14.2 و یا 7.17.23 ارتقا داده شود.
محصولات تحت تأثیر به شرح موارد زیر است:
- نسخههای 8.x از Kibana که قبل از نسخه 8.14.2 منتشر شدهاند و نسخههای .x7 از Kibana که قبل از نسخه 7.17.23 منتشر شدهاند.
- نسخههای Kibana که به صورت مستقل روی سیستم عاملهای میزبان نصب و اجرا میشوند.
- نسخههای Kibana که به صورت Self-Managed و از طریق Docker اجرا میشوند.
https://cybersecuritynews.com/critical-kibana-vulnerability
