Kibana v8.10.0 日志文件泄漏敏感信息(CVE-2023-31422)

CVE编号

CVE-2023-31422

利用情况

暂无

补丁情况

N/A

披露时间

2023-10-26
漏洞描述
Kibana 是一个用于 Elasticsearch 的开源数据可视化工具,旨在帮助用户分析和展示其存储在 Elasticsearch 中的数据。
Kibana 8.10.0 版本启用了日志记录功能并在配置文件(如:kibana.yml)中的 pattern 字段配置了 %meta 时,如果运行出错会将敏感信息写入日志,包括 kibana_system、kibana-metricbeat 或 Kibana 终端用户的帐户凭据等信息,具有 Kibana 登录权限的攻击者可查看日志中的管理员账户凭据。
解决建议
"升级kibana到 8.10.1 或更高版本"
"参考官方链接进行缓解:https://discuss.elastic.co/t/kibana-8-10-1-security-update/343287"
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 elastic kibana 8.10.0 -
CVSS3评分
9.0
  • 攻击路径
    相邻
  • 攻击复杂度
  • 权限要求
  • 影响范围
    已更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CWE-ID 漏洞类型
CWE-532 通过日志文件的信息暴露
阿里云安全产品覆盖情况