【严重】Kibana 8.7.0 任意代码执行漏洞

news2024/11/24 12:44:01

漏洞描述

Kibana是用于Elasticsearch的数据可视化仪表板。Kibana在8.7.0版本引入了Synthetic监控功能,用户可配置编写playwright中的javascript代码实现web应用监控。

具备Kibana登录权限的攻击者可利用此功能编写恶意playwright脚本, 从而在Kibana主机中执行任意系统命令。

漏洞名称Kibana 8.7.0 任意代码执行漏洞
漏洞类型代码注入
发现时间2023/5/3
漏洞影响广度极小
MPS编号MPS-1907-mpry
CVE编号CVE-2023-31415
CNVD编号-

影响范围

kibana@[8.7.0, 8.7.1)

修复方案

将组件 kibana 升级至 8.7.1 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-1907-mpry

https://discuss.elastic.co/t/kibana-8-7-1-security-updates/332330

https://www.elastic.co/guide/en/observability/current/synthetics-get-started-ui.html

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj

产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅: https://www.oscs1024.com/cm/?sf=qbyj

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/559978.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

5.28 深圳活动|Jina AI 生态助力云原生场景下的 AIGC 应用开发

亚马逊云科技 Community Day 将于 5 月 28 日 在深圳南山区海德酒店 11 楼举办,Jina AI 软件工程师付杰将带来 《Jina AI 生态助力云原生场景下的 AIGC 应用开发》 的主题演讲。 Community Day 是亚马逊云科技全球品牌和社区旗舰活动,由社区领导者发起&a…

5个替代Zendesk的全面指南!

Zendesk是一种广受欢迎的客户支持软件解决方案,适用于各种规模的企业。然而,还有其他几种产品可以取代Zendesk,提供类似甚至更好的功能。在本文中,我们将探索市场上一些最好的Zendesk替代方案。 1、Zoho Desk Zoho Desk是一款基…

SpringBoot拦截器-解决java.io.IOException: Stream closed问题

1.SpringBoot拦截器是什么 SpringBoot拦截器和过滤器是Spring Boot的一种机制,用于对请求和响应进行操作的拦截,是AOP编程的一种体现。该方法可以在不改变代码基本业务和逻辑的前提下对SpringBoot的一些操作进行拦截、过滤和更改。 SpirngBoot拦截器&a…

检错纠错理论——海明码与海明距离

概念解释 先说明几个概念(非严谨定义) 码字:一个包含了数据位和校验位的n位单元,也就是“一种”编码 编码:由码字组成的可以表达传递信息的集合,这里不是指编码的过程,而是一个名词。一个编码…

Unity 环境雾与其它设置

开启雾 window->Rendering->Lighting->Environment Fog Color:雾的颜色。Fog Mode:雾效的模式Fog Density:雾效的浓度,取值范围0~1,数值越大雾效浓度越高。。Linear Fog Start:线性雾效开始距离&…

谈谈 Dapr 的优缺点,应用场景,以及未来的发展趋势,生态成熟度

谈谈 Dapr 的优缺点,应用场景,以及未来的发展趋势,生态成熟度 优点缺点应用场景未来发展趋势生态成熟度 本文采用 GPT4 生成,仅供参考。 Dapr 是一个分布式应用程序运行时,其目标是提供一组通用的功能,可以…

我找到了一个生信分析专用服务器!

写在前面 生信分析离不开计算资源,从事生信工作开始,我都在寻找可以满足我开展分析的服务器,不过在寻找过程中发现了以下问题: 如何获得计算资源、部署分析环境、安装生物信息学软件以及保障计算资源的安全和稳定。 当前面临的主要…

SSM框架学习-请求映射路径、请求参数、json数据传送参数以及日期型参数传递

1. 请求映射路径 在进行多人开发,每个人设置不同的请求路径,要解决冲突问题 设置模块名作为请求路径前缀 两种方式 方式一: public class BookController {//请求路径映射RequestMapping("/book/save")ResponseBodypublic String …

新一代企业数字化联盟成立,甄知科技与众多企业“强强联手”搭建品牌服务生态

5月18日,新一代企业数字化联盟(以下简称“新一代联盟”)成立大会在上海举行。该联盟由包括甄云科技、得帆信息、甄知科技、盖雅工场、甄零科技、易立德信息、鼎医、数划云在内的8家创新型数字化软件科技企业发起,旨在希望通过强强…

【Java入门】数据类型与变量

前言 📕作者简介:热爱跑步的恒川,致力于C/C、Java、Python等多编程语言,热爱跑步,喜爱音乐的一位博主。 📗本文收录于Java入门篇系列,该专栏主要讲解:什么是java、java的数据类型与变…

PyCharm 点击运行,没有执行所有的py文件内容

(JDD_KK原创) 基于 Pycharm,python3 问题:编写了一个测试工程,创建了多个.py文件。 多个py文件为: data_test/test_datademo.py interface_test/test_interface1.py test_test/test_test.py web_test/test…

【LCD 应用编程】获取LCD屏幕参数信息(分辨率、像素深度、RGB格式)

目录 一、LCD显示的基本原理 1、认识 FrameBuffer 2、理解LCD的分辨率和深度 二、接口函数 ioctl 1、函数声明 2、结构体介绍 三、获取LCD屏的信息(分辨率、深度) 一、LCD显示的基本原理 1、认识 FrameBuffer FrameBuffer 是帧缓冲,…

[VPX611]基于 6U VPX 总线架构的SATA3.0 高性能数据存储板

板卡概述 VPX611 是一款基于6UVPX 总线架构的高性能数据存储板,该板卡采用2 片XilinxKintex-7 系列FPGA 作为主控单元,FPGA 内嵌RAID 控制器,最大支持8 个mSATA 盘,最大存储容量可以达到8TByte,持续数据写入带宽可以达…

Scrum专业能力之Scrum框架和用敏捷思维管理产品

一、理解和应用Scrum框架 理解和应用Scrum框架,让团队和组织最多30天就可以迭代增量式交付可上线的具有价值的完工产品。成功地应用Scrum框架要求理解和应用Scrum价值观以及经验主义的原则,以便在处理产品交付的内在复杂性的同时,专业地向组…

浑元太极和领域驱动设计-UMLChina建模知识竞赛第4赛季第2轮

DDD领域驱动设计批评文集>> 《软件方法》强化自测题集>> 《软件方法》各章合集>> 参考潘加宇在《软件方法》和UMLChina公众号文章中发表的内容作答。在本文下留言回答,先全部答对者得分,本轮总分为3分。 1. [多选] 开发团队中&am…

在 Visual Studio 2022 中使用 GitHub Copilot chat

本文通过实际应用场景和示例代码展示了 GitHub Copilot Chat 在 Visual Studio 2022 中的优势和特点。最后,鼓励读者在实际工作中尝试使用 Copilot Chat,以提升开发效率和代码质量。希望这些信息和经验能为你在使用GitHub Copilot时提供帮助和启发。 1. …

openssh kex.c拒绝服务漏洞漏洞(CVE-2016-8858)处理

一、漏洞描述 OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。OpenSSH 6.x版…

leetcode二叉树中的最大路径和(java)

二叉树中的最大路径和 leetcode 124题- 原题链接二叉树中的最大路径和 (hard)解题思路二叉树专题 leetcode 124题- 原题链接 leetcode 124 .二叉树的最大路径和 二叉树中的最大路径和 (hard) 二叉树中的 路径 被定义为一条节点序列,序列中每对相邻节点之间都存在一…

Selenium、JUnit、Appium…一网打尽,轻松掌握自动化测试工具

目录 前言: 一、 自动化测试原理 二、 自动化测试工具和技术 三、 自动化测试案例 四、 总结 前言: 自动化测试是现代软件开发中必不可少的组成部分,它可以让开发者快速、高效地测试软件,并确保其符合预期要求。在本文中&am…

工业开源网站

12、JCAE JAVA based environment for CAE applications. jCAE - Java Computer Aided Engineering 13、gCAD3D gCAD3D.org 14、boardcad http://www.boardcad.com/ 15、solvespace SolveSpace - parametric 3d CAD 16、DraftSight 不开源 2D CAD Drafting and 3D Design | Dra…