Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Kibana (CVE-2024-43710)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918 Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
23/01/2025
Última modificación:
23/01/2025

Descripción

Se identificó una vulnerabilidad de server side request forgery en Kibana, donde la API /api/fleet/health_check se podía usar para enviar solicitudes a endpoints internos. Debido a la naturaleza de la solicitud subyacente, solo se podía acceder a losendpoints disponibles a través de https que devolvieran JSON. Esto lo pueden hacer los usuarios con acceso de lectura a Fleet.