Vulnerabilidad en Kibana (CVE-2024-43710)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
23/01/2025
Última modificación:
23/01/2025
Descripción
Se identificó una vulnerabilidad de server side request forgery en Kibana, donde la API /api/fleet/health_check se podía usar para enviar solicitudes a endpoints internos. Debido a la naturaleza de la solicitud subyacente, solo se podía acceder a losendpoints disponibles a través de https que devolvieran JSON. Esto lo pueden hacer los usuarios con acceso de lectura a Fleet.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA