資料圖像化系統Kibana存在重大漏洞，可被用於執行任意程式碼

資料搜尋和分析解決方案業者Elastic推出資料圖像化系統Kibana安全性更新8.15.1版，修補2項重大層級的漏洞CVE-2024-37288、CVE-2024-37285。

根據CVSS風險評分，較為危險的是CVE-2024-37288，這項漏洞發生的原因，在於Kibana的Amazon Bedrock Connector元件當中，存在「解序列化（deserialization）」的弱點，當Kibana嘗試處理含有惡意酬載的YAML檔案，就有可能觸發，使得攻擊者能夠執行任意程式碼，CVSS風險評為9.9分（滿分為10分），影響8.15.0版Kibana。

另一個漏洞CVE-2024-37285也與解序列化有關，攻擊者同樣可藉由特製的YAML檔案觸發，並執行任意程式碼，但利用這項漏洞，攻擊者必須事先得到具備指定權限的惡意使用者帳號，並結合特定的Elasticsearch、Kibana權限，此漏洞的CVSS風險評分為9.1，影響8.10.0至8.15.0版Kibana。