Kritische Schwachstelle in der YAML Deserialisierung von Kibana entdeckt
Zwei schwerwiegende Sicherheitslücken (CVE-2024-37288 und CVE-2024-37285) in Kibana ermöglichen die Ausführung von beliebigem Code durch unsichere YAML-Deserialisierung. Diese Lücken betreffen Benutzer, die den Amazon Bedrock Connector in Kibana 8.10.0 bis 8.15.0 verwenden.
Die Schwachstellen haben kritische Schweregrade von 9.9 bzw. 9.1 auf der CVSSv3.1-Skala. Benutzer sollten dringend auf Kibana-Version 8.15.1 aktualisieren. Falls ein Upgrade nicht möglich ist, kann die Integration Assistant-Funktion deaktiviert werden, indem die Konfiguration xpack.integration_assistant.enabled: false in der Datei kibana.yml gesetzt wird.