خطر اجرای کد دلخواه کاربران kibana را تهدید می‌کند

کمیته رکن چهارم – یک آسیب‌پذیری بحرانی در نرم‌افزار متن‌باز Kibana شناسایی شده‌است که مهاجمان با بهره‌برداری از آن می‌توانند کدهای دلخواه خود را اجرا کنند.

نرم‌افزار پرکاربرد و متن‌باز Kibana که برای بصری‌سازی، ساخت داشبورد مدیریتی و تجزیه‌وتحلیل داده‌ها به کار می‌رود با یک آسیب‌پذیری بحرانی با شناسه CVE-2024-37287 و شدت ۹٫۹ مواجه است که به مهاجمان اجازه می‌دهد کدهای دلخواه خود را اجرا کنند.

نسخه‌های Kibana ‌که به صورت مستقل روی سیستم‌عامل‌های میزبان نصب و اجرا می‌شوند، نسخه‌هایی که به صورت خودمدیریتی و از طریق Docker اجرا می‌شوند و نسخه‌های ۸٫x از Kibana که قبل از نسخه ۸٫۱۴٫۲ منتشر شده‌اند و نسخه‌های .x7 از این نرم‌افزار که قبل از نسخه ۷٫۱۷٫۲۳ منتشر شده‌اند، تحت تاثیر این آسیب‌پذیری قرار دارند. بنابراین Kibana باید فورا به نسخه‌های جدید ۸٫۱۴٫۲ یا ۷٫۱۷٫۲۳ به‌روزرسانی شود.

مهاجمان با دسترسی به ویژگی‌های رابط یادگیری ماشین (ML) و Alerting و همچنین دسترسی نوشتن به ویژگی‌های داخلی ML می‌توانند کد دلخواه را پس از دسترسی اولیه اجرا کنند. این مشکل هنگام نصب Kibana به صورت خودمدیریتی (Self-Managed) در سیستم‌عامل میزبان بروز می‌کند.

منبع : افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.