漏洞背景

近日，嘉诚安全监测到Kibana中存在日志文件敏感信息泄漏，漏洞编号为：CVE-2023-46671。

Kibana是一个用于Elasticsearch的开源数据可视化工具，旨在帮助用户分析和展示其存储在Elasticsearch中的数据。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏为高危漏洞。Kibana受影响的版本中启用了日志记录功能，运行出错时会将敏感信息写入日志，包括kibana_system、kibana-metricbeat或Kibana终端用户的帐户凭据等信息，具有Kibana登录权限的攻击者可查看日志中的管理员账户凭据。

危害影响

影响版本

kibana < 7.17.15

8.0.0 <= kibana < 8.11.1

修复建议

根据影响版本中的信息，建议相关用户将组件kibana升级至8.11.1及以上版本，参考链接：

https://discuss.elastic.co/t/8-11-1-7-17-15-security-update-esa-2023-25/347149