从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Kibana arbitrary code execution via YAML deserialization in Amazon Bedrock Connector (ESA-2024-27) - 描述:Kibana在尝试解析包含构造payload的YAML文档时,存在反序列化问题,可能导致任意代码执行。 2. 受影响版本: - 版本:Kibana版本8.15.0 3. 解决方案和缓解措施: - 建议:用户应升级到版本8.15.1。 - 临时措施: - 对于无法升级到8.15.1且必须停留在8.15.0的用户,可以禁用集成助手,方法是在其 配置文件中设置 。 4. 严重性: - CVSSv3.1:9.9(Critical) 5. CVE ID: - CVE-2024-37288 6. Kibana arbitrary code execution via YAML deserialization (ESA-2024-28): - 描述:Kibana在尝试解析包含构造payload的YAML文档时,存在反序列化问题,可能导致任意代码执行。 - 要求的Elasticsearch索引权限: - 权限在系统索引 - 标志设置为 - 要求的Kibana权限: - 在 中授予 权限 - 在 中授予 或 权限 - 访问 权限通过Fleet Server的服务帐户令牌获得 - 受影响版本:Kibana版本8.10.0到8.15.0 - 解决方案和缓解措施:用户应升级到版本8.15.1。 - 严重性:CVSSv3.1:9.1(Critical) 7. CVE ID: - CVE-2024-37285 这些信息提供了关于Kibana中两个不同漏洞的详细描述,包括受影响的版本、解决方案、严重性和CVE ID。