Kibana代码执行漏洞安全通告
发布时间 2019-10-18漏洞编号和级别
CVE编号:暂无,危险级别:高危,CVSS分值:厂商自评:官方未评定
影响版本
Kibana < 6.6.0
漏洞概述
Kibana 是为 Elasticsearch设计的开源分析和可视化平台。用户可以使用 Kibana 来搜索、查看存储在 Elasticsearch 索引中的数据并与之交互,并且可以很容易实现高级的数据分析和可视化,以图标的形式展现出来。用户可以在大量数据之上创建条形图,折线图和散点图,或饼图和地图。
Kibana还提供了一个称为Canvas的演示工具,用户可以利用该工具来创建幻灯片平台,并且直接从Elasticsearch中获取实时数据。并且Elasticsearch,Logstash和Kibana的组合可以作为数据服务产品。Logstash向Elasticsearch提供输入流以进行存储和搜索,而Kibana则访问数据以进行可视化。
Kibana存在代码执行漏洞,该漏洞存在于Kibana节点的环境变量中,攻击者能够通过污染的节点环境变量来构造远程代码执行攻击,然后通过进一步的渗透攻击,从而实现完全远程接管整个服务器的目的,该漏洞利用方式较为简单,危害性较大。
通过网络空间搜索引擎可以得知,在全球范围内,对互联网开放的Kibana网站有近8万个。
漏洞验证
暂无POC/EXP。
修复建议
目前官方暂未进行安全更新,使用该系统的用户可时刻关注官方网站获取最新的安全更新,官方网站地址为:https://elasticsearch.cn/。
参考链接
https://elasticsearch.cn/
京公网安备11010802024551号