В рабочих процессах Kibana существует неправильная нейтрализация специальных элементов, используемых в механизме шаблонов (CWE-1336), что может позволить злоумышленнику читать произвольные файлы из файловой системы сервера Kibana и выполнять подделку запросов на стороне сервера (SSRF) посредством внедрения кода (CAPEC-242). Для этого требуется прошедший проверку подлинности пользователь с привилегией workflowsManagement:executeWorkflow.
Показать оригинальное описание (EN)
Improper Neutralization of Special Elements Used in a Template Engine (CWE-1336) exists in Workflows in Kibana which could allow an attacker to read arbitrary files from the Kibana server filesystem, and perform Server-Side Request Forgery (SSRF) via Code Injection (CAPEC-242). This requires an authenticated user who has the workflowsManagement:executeWorkflow privilege.
Характеристики атаки
Последствия
Строка CVSS v3.1