• 漏洞编号：CVE-2024-37287
• 漏洞等级：严重
• 漏洞标签：发布预警、公开漏洞
• 发布时间：2024-08-06

漏洞描述

Kibana 是开源的分析和可视化平台，与 Elasticsearch 协同工作。 受影响版本中由于 child\_process.js 类未对用户可控的 Javascript 对象有效过滤从而存在原型污染漏洞，具有访问Kibana的机器学习和报警连接器功能，以及对内部机器学习索引的写权限的攻击者可利用该漏洞远程执行任意代码。 受影响的环境包括自管理的Kibana安装实例、自管理的Kibana Docker镜像、Elastic Cloud、Elastic Cloud Enterprise（ECE）、以及Elastic Cloud on Kubernetes（ECK），由于会被Seccomp\-BPF和AppArmor配置阻止逃逸，漏洞的利用在docker和云环境中影响有限。

修复建议

1. 将组件 kibana 升级至 7.17.23 及以上版本 2. 将组件 kibana 升级至 8.14.2 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-ny0v-1jxb

https://discuss.elastic.co/t/kibana-8-14-2-7-17-23-security-update-esa-2024-22/364424

https://github.com/elastic/kibana/commit/d931262c0ab99c1fddf84aecab84e8ee55f1ee25

https://nvd.nist.gov/vuln/detail/CVE-2024-37287

https://www.oscs1024.com/hd/MPS-ny0v-1jxb