一、 漏洞 CVE-2023-46671 基础信息
漏洞标题
Kibana 将敏感信息插入日志文件
来源:AIGC 神龙大模型
漏洞描述信息
弹性网关发现了一个问题,即在特定情况下,错误可能会在 Kibana 日志中记录敏感信息。弹性网关已经发布了 Kibana 8.11.1,以解决这个问题。日志中记录的错误消息可能包含 Kibana_system 用户的账户凭据、API 密钥和 Kibana 终端用户的身份凭据。该问题的发生频率较低,只有在存在用户交互和不健康集群(例如,返回 breaker 或没有 shard 异常)的情况下才会发生。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
通过日志文件的信息暴露
来源:AIGC 神龙大模型
漏洞标题
Kibana Insertion of Sensitive Information into Log File
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered by Elastic whereby sensitive information may be recorded in Kibana logs in the event of an error. Elastic has released Kibana 8.11.1 which resolves this issue. The error message recorded in the log may contain account credentials for the kibana_system user, API Keys, and credentials of Kibana end-users. The issue occurs infrequently, only if an error is returned from an Elasticsearch cluster, in cases where there is user interaction and an unhealthy cluster (for example, when returning circuit breaker or no shard exceptions).
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
通过日志文件的信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Elastic Kibana 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Elastic Kibana是荷兰Elastic公司的一个应用系统。一个免费且开放的用户界面,能够让您对 Elasticsearch 数据进行可视化,并让您在 Elastic Stack 中进行导航。 Elastic Kibana 8.0.0 到 8.11.1版本存在安全漏洞,该漏洞源于Kibana 将敏感信息插入日志文件 ,日志中记录的错误消息可能包含 kibana_system 的帐户凭据、Kibana 用户、API 密钥和凭证。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-46671 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-46671 的情报信息