Kibana versions 4.0 to 4.6, 5.0 to 5.6.12, and 6.0 to 6.4.2 contain an error in the way authorization credentials are used when generating PDF reports. If a report requests external resources plaintext credentials are included in the HTTP request that could be recovered by an external resource provider.
oryginał ENCVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HElastic Kibana
APPElastic4.0.0 – 4.6.05.0.0 – 5.6.126.0.0 – 6.4.2
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Powiązane podatności
CVE-2019-7609CRITICAL10.0⚠ KEVten sam produkt
Kibana versions before 5.6.15 and 6.6.1 contain an arbitrary code execution flaw in the Timelion visualizer. A...
CVE-2025-25014CRITICAL9.1PL ✓ten sam produkt
Prototype Pollution w Kibana prowadzące do RCE przez HTTP
CVE-2025-25015CRITICAL9.9PL ✓ten sam produkt
Prototype Pollution w Elastic Kibana umożliwia zdalne wykonanie kodu (RCE)
CVE-2024-37285CRITICAL9.1PL ✓ten sam produkt
RCE przez deserializację YAML w Elastic Kibana
CVE-2024-37288CRITICAL9.9PL ✓ten sam produkt
Deserializacja YAML w Kibana umożliwia zdalne wykonanie kodu (RCE)