漏洞描述:
Kibana 是一个用于 Elasticsearch 的开源数据可视化工具,旨在帮助用户分析和展示其存储在 Elasticsearch 中的数据。
Kibana 8.10.0 版本启用了日志记录功能并在配置文件(如:kibana.yml)中的 pattern 字段配置了 %meta 时,如果运行出错会将敏感信息写入日志,包括 kibana_system、kibana-metricbeat 或 Kibana 终端用户的帐户凭据等信息,具有 Kibana 登录权限的攻击者可查看日志中的管理员账户凭据。
影响范围:
kibana[8.10.0, 8.10.1)
修复方案:
升级kibana到 8.10.1 或更高版本
参考官方链接进行缓解:
https://discuss.elastic.co/t/kibana-8-10-1-security-update/343287
参考链接:
https://discuss.elastic.co/t/kibana-8-10-1-security-update/343287
https://github.com/elastic/kibana/commit/6957ba896ec80fbaeaa269debfdce1478bdde661
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...