【漏洞预警】 Elasticsearch Kibana授权问题漏洞(CVE-2022-23709)
01
漏洞描述
ElasticSearch创办于2012年,以ElasticSearch的搜索开源产品知名。产品包括 ElasticSearch、Kibana、Beats和Logstash、为Elastic Stack提供商业功能的X-Pack,及软件即服务产品 Elastic Cloud(包括托管 Elasticsearch、托管应用程序搜索和托管网站搜索)。ElasticsearchKibana是该公司的一套开源的、基于浏览器的分析和搜索Elasticsearch仪表板工具。
Kibana中发现了一个漏洞,具有正常运行时间功能读取权限的用户可以修改警报规则。具有此权限的用户将能够创建新的警报规则或覆盖现有规则。但是,将不会启用任何新的或修改的规则,并且具有此权限的用户无法修改警报连接器。这实际上意味着读取用户可以禁用现有的警报规则。
02
漏洞危害
Elasticsearch Kibana存在授权问题漏洞,攻击者可利用该漏洞将能够创建新的警报规则或覆盖现有的规则。
03
影响范围
ElasticSearch Kibana <7.17.1
ElasticSearch Kibana <8.0.1
ElasticSearch Kibana <8.1.0
04
漏洞等级
中危
05
修复方案
厂商已发布了漏洞修复程序,请及时关注更新:
https://discuss.elastic.co/t/elastic-stack-7-17-1-security-update/298447
END