CRITICAL✓ PATCH🇬🇧 English

CVE-2024-37288

Deserializacja YAML w Kibana umożliwia zdalne wykonanie kodu (RCE)

CVSS 9.9v3.1pub. 2024-09-09upd. 2024-09-16

Podatność na deserializację w Kibana pozwala na wykonanie dowolnego kodu, gdy aplikacja przetwarza spreparowany dokument YAML. Luka uzyskała ocenę CVSS 9.9 i jest szczególnie groźna ze względu na brak wymagań dotyczących interakcji użytkownika oraz wpływ na poufność, integralność i dostępność systemu.

Pokaż oryginał (EN)

A deserialization issue in Kibana can lead to arbitrary code execution when Kibana attempts to parse a YAML document containing a crafted payload. This issue only affects users that use Elastic Security’s built-in AI tools https://www.elastic.co/guide/en/security/current/ai-for-security.html  and have configured an Amazon Bedrock connector https://www.elastic.co/guide/en/security/current/assistant-connect-to-bedrock.html .

🤖 Analiza AI
Jak działa

Atakujący przesyła specjalnie spreparowany dokument YAML zawierający złośliwy payload, który jest następnie deserializowany przez Kibana. Proces deserializacji powoduje wykonanie osadzonego w payloadzie kodu po stronie serwera. Podatność jest wyzwalana w kontekście działania wbudowanych narzędzi AI w module Elastic Security przy skonfigurowanym connectorze Amazon Bedrock.

Skutki

Atakujący z uwierzytelnionymi uprawnieniami może doprowadzić do zdalnego wykonania dowolnego kodu (RCE) na serwerze Kibana, co skutkuje pełną utratą poufności, integralności i dostępności systemu.

Mitygacja

Należy zaktualizować Kibana do wersji 8.15.1 lub nowszej zgodnie z zaleceniami producenta opublikowanymi pod adresem: https://discuss.elastic.co/t/kibana-8-15-1-security-update-esa-2024-27-esa-2024-28/366119. Jako obejście tymczasowe można rozważyć wyłączenie connectora Amazon Bedrock oraz narzędzi AI w module Elastic Security.

Kogo dotyczy

Elastic Kibana — wyłącznie instalacje korzystające z wbudowanych narzędzi AI w module Elastic Security oraz skonfigurowanym connectorem Amazon Bedrock. Szczegółowe wersje wskazane w referencjach producenta.

Uwagi

Podatność dotyczy wyłącznie wąskiej grupy użytkowników — tych, którzy jednocześnie korzystają z funkcji AI w Elastic Security oraz skonfigurowali connector Amazon Bedrock. Instalacje bez tych komponentów nie są podatne.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Elastic Kibana

    APP
    Elastic
    8.15.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEDeserialization
CWE
Referencje

Powiązane podatności

CVE-2019-7609CRITICAL10.0⚠ KEVten sam produkt

Kibana versions before 5.6.15 and 6.6.1 contain an arbitrary code execution flaw in the Timelion visualizer. A...

CVE-2025-25014CRITICAL9.1PL ✓ten sam produkt

Prototype Pollution w Kibana prowadzące do RCE przez HTTP

CVE-2025-25015CRITICAL9.9PL ✓ten sam produkt

Prototype Pollution w Elastic Kibana umożliwia zdalne wykonanie kodu (RCE)

CVE-2024-37285CRITICAL9.1PL ✓ten sam produkt

RCE przez deserializację YAML w Elastic Kibana

CVE-2024-37287CRITICAL9.1PL ✓ten sam produkt

RCE w Kibana — prototype pollution przez ML i Alerting connector