Elasticsearch および Liferay Enterprise Search のセキュリティ アドバイザリ: 2021 年 6 月 2 日

Kibana URL リダイレクトの欠陥 (ESA-2021-12)

Kibana の 7.13.0 および 6.8.16 より前のバージョンで、オープン リダイレクトの欠陥が見つかりました。 ログインしたユーザーが悪意を持って作成された URL にアクセスすると、Kibana がユーザーを任意の Web サイトにリダイレクトする可能性があります。

影響を受けるバージョン:

7.13.0 および 6.8.16 より前のすべてのバージョンの Kibana。

解決策と軽減策:

ユーザーは、Kibana のバージョンを 7.13.0 または 6.8.16 に更新する必要があります。

CVSSv3 - 4.3: AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

CVE ID: CVE-2021-22141

CWE-601: 信頼されていないサイトへの URL リダイレクト (「Open Redirect」)

---

Kibana レポートの脆弱性 (ESA-2021-13)

Kibana には、レポート機能がダウンロード可能なレポートを生成するために使用する Chromium ブラウザーの埋め込みバージョンが含まれています。 レポートを生成する権限を持つユーザーがこのブラウザーで任意の HTML をレンダリングできる場合、既知の Chromium の脆弱性を利用してさらなる攻撃を実行できる可能性があります。 Kibana には、このブラウザーが任意のコンテンツをレンダリングするのを防ぐための多くの保護が含まれています。

影響を受けるバージョン:

7.0.0 以降および 7.13.0 より前のすべてのバージョンの Kibana

解決策と軽減策:

ユーザーは、Kibana のバージョンを 7.13.0 に更新する必要があります。

CVSSv3 - 6.6: AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE ID: CVE-2021-22142

CWE-1104: メンテナンスされていないサードパーティ コンポーネントの使用