← voltar
CVE-2021-22142

Kibana Reporting vulnerabilities

CVSS 6.6 MEDIUMEPSS 1.0%CWE-1104
Em resumo

O recurso de relatórios do Kibana usa um navegador Chromium incorporado para gerar relatórios para download. Se um usuário com permissão para gerar relatórios conseguir fazer esse navegador exibir HTML malicioso, ele pode explorar vulnerabilidades conhecidas do Chromium para atacar o sistema.

Detalhe técnico

A vulnerabilidade está no recurso de Relatórios do Kibana, que incorpora o Chromium para geração de PDF/imagens. Um atacante autenticado com permissões de geração de relatórios pode contornar proteções de renderização de HTML para injetar conteúdo arbitrário, potencialmente desencadeando CVEs conhecidas do Chromium para elevação de privilégio ou execução de código no servidor Kibana.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Kibana contains an embedded version of the Chromium browser that the Reporting feature uses to generate the downloadable reports. If a user with permissions to generate reports is able to render arbitrary HTML with this browser, they may be able to leverage known Chromium vulnerabilities to conduct further attacks. Kibana contains a number of protections to prevent this browser from rendering arbitrary content.
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Elastic · Kibana

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://discuss.elastic.co/t/elastic-stack-7-13-0-and-6-8-16-security-update/273964/1https://www.elastic.co/community/security