Vulnerabilidad de inserción de archivos en Kibana

Fecha de publicación 21/12/2018

Importancia

5 - Crítica

Recursos Afectados

Kibana versiones anteriores a 6.4.3 y 5.6.13

Descripción

Se ha publicado una vulnerabilidad en Kibana, en el proceso LFI (Local File Inclusion) que podría permitir la inserción de archivos a través de peticiones http.

Solución

Actualizar a la versión 6.5

Detalle

Un atacante a través del API de la consola de Kibana podría enviar una solicitud http que le permita ejecutar ficheros Java Script que se encuentren alojados en cualquier directorio del servidor en los que Kibana tenga permisos, lo que le permitiría obtener información y ejecutar comandos que le permitan incluir ficheros para hacerse con el control de la máquina. Se ha asignado el identificador CVE-2018-17246 para esta vulnerabilidad.

Listado de referencias

Kibana Local File Inclusion Flaw CVE-2018-17246

Vulnerabilidad crítica en Kibana

Etiquetas

Actualización
Vulnerabilidad