Vulnerabilidad en Elastic (CVE-2023-46675)

Elastic descubrió un problema por el cual se puede registrar información confidencial en los registros de Kibana en caso de un error o en el caso de que el registro de nivel de depuración esté habilitado en Kibana. Elastic lanzó Kibana 8.11.2 que resuelve este problema. Los mensajes registrados en el registro pueden contener credenciales de cuenta para el usuario kibana_system, claves API y credenciales de los usuarios finales de Kibana, objetos de política del paquete Elastic Security que pueden contener claves privadas, tokens de portador y sesiones de integraciones de terceros y, finalmente, autorización de encabezados, secretos de cliente, rutas de archivos locales y seguimientos de pila. El problema puede ocurrir en cualquier instancia de Kibana que ejecute una versión afectada y que potencialmente podría recibir un error inesperado al comunicarse con Elasticsearch, lo que provocaría que se incluyeran datos confidenciales en los registros de errores de Kibana. También podría ocurrir en circunstancias específicas cuando el registro de nivel de depuración está habilitado en Kibana. Nota: Se descubrió que la solución para ESA-2023-25 en Kibana 8.11.1 para un problema similar estaba incompleta.