• 漏洞编号：CVE-2024-37285
• 漏洞等级：高危
• 漏洞标签：暂无
• 发布时间：2024-09-06

漏洞描述

Kibana 是一个开源的数据分析和可视化平台，提供了一个Web界面，用户可以通过它来创建仪表板，这些仪表板可以展示实时数据，并允许用户通过各种方式对数据进行切片和筛选。2024年9月，官方披露 CVE\-2024\-37285 Kibana YAML 反序列化代码执行漏洞，当allow\_restricted\_indices 为true，且攻击者具有kibana\_ingest的写权限时，可构造恶意请求造成代码执行。

修复建议

1. 增加Kibana权限认证 2. 升级至安全版本。

参考链接

https://discuss.elastic.co/t/kibana-8-15-1-security-update-esa-2024-27-esa-2024-28/366119

https://avd.aliyun.com/detail?id=AVD-2024-37285