Kibana 8.7.0 任意代码执行漏洞
漏洞描述
Kibana是用于Elasticsearch的数据可视化仪表板。Kibana在8.7.0版本引入了Synthetic监控功能,用户可配置编写playwright中的javascript代码实现web应用监控。
具备Kibana登录权限的攻击者可利用此功能编写恶意playwright脚本, 从而在Kibana主机中执行任意系统命令。
| 漏洞名称 | Kibana 8.7.0 任意代码执行漏洞 |
|---|---|
| 漏洞类型 | 代码注入 |
| 发现时间 | 2023-05-03 |
| 漏洞影响广度 | 极小 |
| MPS编号 | MPS-1907-mpry |
| CVE编号 | CVE-2023-31415 |
| CNVD编号 | - |
影响范围
kibana@[8.7.0, 8.7.1)
修复方案
将组件 kibana 升级至 8.7.1 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-1907-mpry
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
微信支付组件 Payment Spring Boot 进入 dromara 开源组织孵化
现在Payment Spring Boot已经进入dromara开源组织孵化,将和Dromara社区的其它优秀开源项目一起为中国开源添砖加瓦,在本次1.0.18的迭代和后续项目迭代中,相关物料将发生一些变更,以适应dromara社区。 Payment Spring Boot 是微信支付 V3 的 Java 实现,经过三年的迭代,目前已经支持微信优惠券,代金券、商家券、智慧商圈、商家转账到零钱、公众号支付、微信小程序支付、分账、微信支付分、商家券、合单支付、先享卡、电商收付通等几乎全部微信支付营销功能 API。 它可以让开发者快速、优雅地为 Spring Boot 应用接入微信支付,并且屏蔽了签名、验签的复杂流程,开发者成功配置后即可进行业务开发,支持多租户,动态证书刷新。更多更新信息请参考 CHANGELOG。 1.0.18 更新日志 微信支付 enhance: 使用ResourceLoader加载资源以改善Docker容器环境下的文件挂载问题 enhance: 修改了微信支付配置加载机制,现在可以借助于WechatTenantService实现不停机维护微信支付参数的能力 facto...
- 下一篇
被“开源”的 LLaMA 成最大赢家
本文源自一份被意外泄露的谷歌内部文件,作者是谷歌内部的一名研究员。虽然他在文章中提出了不少有意思的观点,但仅代表其本人的意见,并非谷歌公司的观点,而且许多其他研究人员也不同意这些观点。 原文:https://www.semianalysis.com/p/google-we-have-no-moat-and-neither 这名谷歌员工声称,在当下这场 AI 军备竞赛中,开源人工智能 (Open Source AI) 将会胜过谷歌和 OpenAI,成为最大赢家。他还认为,谷歌没有护城河,OpenAI 也没有。 文件提到,今年 3 月初 Meta 的大语言模型 LLaMA 被泄露后,开源社区得到了第一个真正意义上的具备能力的基础模型。尽管 LLaMA 没有指令或对话调整,也没有 RLHF,但社区深刻认识到其重要性。随之而来的是巨大创新涌现,仅仅一个月后,就出现了包含指令调优、量化、质量改进、人工评估、多模态、RLHF 等 LLaMA 变体,其中许多变体建立在彼此之上。 延伸阅读:被泄露的大语言模型 LLaMA,助长了一系列 ChatGPT 开源替代品 虽然大公司的模型在质量方面仍然略有优势...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- 2048小游戏-低调大师作品
- Mario游戏-低调大师作品
微信收款码
支付宝收款码