网站导航
> 文档中心 > 风险提示:Elasticsearch Kibana 跨站脚本及授权漏洞

风险提示:Elasticsearch Kibana 跨站脚本及授权漏洞

网友: 文档中心 2022-03-29 17:12:46

漏洞描述:

Elasticsearch Kibana是荷兰Elastic公司的一套开源的、基于浏览器的分析与可视化平台,通常用于搜索、查看存放在Elasticsearch中的数据,从而达到高级的数据分析与可视化的目的。

  • Elasticsearch Kibana存在跨站脚本漏洞,该漏洞源于在数据预览窗格中缺少对于用户数据的过滤和转义,攻击者可利用该漏洞在受害者的浏览器中执行任意JavaScript。 CVE-2022-23710

  • Elasticsearch Kibana存在授权问题漏洞,攻击者可利用该漏洞将能够创建新的警报规则或覆盖现有的规则。 CVE-2022-23709

漏洞危害级别: 中危

漏洞影响版本:

ElasticSearch Kibana <7.17.1
ElasticSearch Kibana <8.0.1
ElasticSearch Kibana <8.1.0

参考链接:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23710
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23709

补丁链接:

https://discuss.elastic.co/t/elastic-stack-7-17-1-security-update/298447

注:养成良好运维习惯,升级前请做好测试及备份工作。 \color{#FF0000}{注:养成良好运维习惯,升级前请做好测试及备份工作。}

扫码关注醒狮运维公众号,及时了解更多安全漏洞信息及运维知识!
在这里插入图片描述

网络标签:

相关问题