首頁 > 安全研究 > 安全通報 > 安全通告

Kibana代碼執行漏洞安全通告

發布時間 2019-10-18

漏洞編號和級別


CVE編號:暫無,危險級別:高危,CVSS分值:廠商自評:官方未評定


影響版本


Kibana < 6.6.0


漏洞概述


Kibana 是為 Elasticsearch設計的開源分析和可視化平臺。用戶可以使用 Kibana 來搜索、查看存儲在 Elasticsearch 索引中的數據并與之交互,并且可以很容易實現高級的數據分析和可視化,以圖標的形式展現出來。用戶可以在大量數據之上創建條形圖,折線圖和散點圖,或餅圖和地圖。


Kibana還提供了一個稱為Canvas的演示工具,用戶可以利用該工具來創建幻燈片平臺,并且直接從Elasticsearch中獲取實時數據。并且Elasticsearch,Logstash和Kibana的組合可以作為數據服務產品。Logstash向Elasticsearch提供輸入流以進行存儲和搜索,而Kibana則訪問數據以進行可視化。


Kibana存在代碼執行漏洞,該漏洞存在于Kibana節點的環境變量中,攻擊者能夠通過污染的節點環境變量來構造遠程代碼執行攻擊,然后通過進一步的滲透攻擊,從而實現完全遠程接管整個服務器的目的,該漏洞利用方式較為簡單,危害性較大。


通過網絡空間搜索引擎可以得知,在全球范圍內,對互聯網開放的Kibana網站有近8萬個。



漏洞驗證



暫無POC/EXP。


修復建議


目前官方暫未進行安全更新,使用該系統的用戶可時刻關注官方網站獲取最新的安全更新,官方網站地址為:https://elasticsearch.cn/。


參考鏈接


https://elasticsearch.cn/

上一篇 下一篇