Podatność na deserializację w Kibana pozwala na wykonanie dowolnego kodu, gdy aplikacja przetwarza spreparowany dokument YAML. Luka uzyskała ocenę CVSS 9.9 i jest szczególnie groźna ze względu na brak wymagań dotyczących interakcji użytkownika oraz wpływ na poufność, integralność i dostępność systemu.
▸ Pokaż oryginał (EN)
A deserialization issue in Kibana can lead to arbitrary code execution when Kibana attempts to parse a YAML document containing a crafted payload. This issue only affects users that use Elastic Security’s built-in AI tools https://www.elastic.co/guide/en/security/current/ai-for-security.html and have configured an Amazon Bedrock connector https://www.elastic.co/guide/en/security/current/assistant-connect-to-bedrock.html .
Atakujący przesyła specjalnie spreparowany dokument YAML zawierający złośliwy payload, który jest następnie deserializowany przez Kibana. Proces deserializacji powoduje wykonanie osadzonego w payloadzie kodu po stronie serwera. Podatność jest wyzwalana w kontekście działania wbudowanych narzędzi AI w module Elastic Security przy skonfigurowanym connectorze Amazon Bedrock.
Atakujący z uwierzytelnionymi uprawnieniami może doprowadzić do zdalnego wykonania dowolnego kodu (RCE) na serwerze Kibana, co skutkuje pełną utratą poufności, integralności i dostępności systemu.
Należy zaktualizować Kibana do wersji 8.15.1 lub nowszej zgodnie z zaleceniami producenta opublikowanymi pod adresem: https://discuss.elastic.co/t/kibana-8-15-1-security-update-esa-2024-27-esa-2024-28/366119. Jako obejście tymczasowe można rozważyć wyłączenie connectora Amazon Bedrock oraz narzędzi AI w module Elastic Security.
Elastic Kibana — wyłącznie instalacje korzystające z wbudowanych narzędzi AI w module Elastic Security oraz skonfigurowanym connectorem Amazon Bedrock. Szczegółowe wersje wskazane w referencjach producenta.
Podatność dotyczy wyłącznie wąskiej grupy użytkowników — tych, którzy jednocześnie korzystają z funkcji AI w Elastic Security oraz skonfigurowali connector Amazon Bedrock. Instalacje bez tych komponentów nie są podatne.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HElastic Kibana
APPElastic8.15.0
Powiązane podatności
Kibana versions before 5.6.15 and 6.6.1 contain an arbitrary code execution flaw in the Timelion visualizer. A...
Prototype Pollution w Kibana prowadzące do RCE przez HTTP
Prototype Pollution w Elastic Kibana umożliwia zdalne wykonanie kodu (RCE)
RCE przez deserializację YAML w Elastic Kibana
RCE w Kibana — prototype pollution przez ML i Alerting connector