کمیته رکن چهارم – یک آسیبپذیری بحرانی در نرمافزار متنباز Kibana شناسایی شدهاست که مهاجمان با بهرهبرداری از آن میتوانند کدهای دلخواه خود را اجرا کنند.
نرمافزار پرکاربرد و متنباز Kibana که برای بصریسازی، ساخت داشبورد مدیریتی و تجزیهوتحلیل دادهها به کار میرود با یک آسیبپذیری بحرانی با شناسه CVE-2024-37287 و شدت ۹٫۹ مواجه است که به مهاجمان اجازه میدهد کدهای دلخواه خود را اجرا کنند.
نسخههای Kibana که به صورت مستقل روی سیستمعاملهای میزبان نصب و اجرا میشوند، نسخههایی که به صورت خودمدیریتی و از طریق Docker اجرا میشوند و نسخههای ۸٫x از Kibana که قبل از نسخه ۸٫۱۴٫۲ منتشر شدهاند و نسخههای .x7 از این نرمافزار که قبل از نسخه ۷٫۱۷٫۲۳ منتشر شدهاند، تحت تاثیر این آسیبپذیری قرار دارند. بنابراین Kibana باید فورا به نسخههای جدید ۸٫۱۴٫۲ یا ۷٫۱۷٫۲۳ بهروزرسانی شود.
مهاجمان با دسترسی به ویژگیهای رابط یادگیری ماشین (ML) و Alerting و همچنین دسترسی نوشتن به ویژگیهای داخلی ML میتوانند کد دلخواه را پس از دسترسی اولیه اجرا کنند. این مشکل هنگام نصب Kibana به صورت خودمدیریتی (Self-Managed) در سیستمعامل میزبان بروز میکند.
منبع : افتانا