Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad de inserción de archivos en Kibana

Vulnerabilidad de inserción de archivos en Kibana

Fecha de publicación: 
21/12/2018
Importancia: 
5 - Crítica
Recursos afectados: 
  • Kibana versiones anteriores a 6.4.3 y 5.6.13
Descripción: 

Se ha publicado una vulnerabilidad en Kibana, en el proceso LFI (Local File Inclusion) que podría permitir la inserción de archivos a través de peticiones http.

Solución: 
Detalle: 
  • Un atacante a través del API de la consola de Kibana podría enviar una solicitud http que le permita ejecutar ficheros Java Script que se encuentren alojados en cualquier directorio del servidor en los que Kibana tenga permisos, lo que le permitiría obtener información y ejecutar comandos que le permitan incluir ficheros para hacerse con el control de la máquina. Se ha asignado el identificador CVE-2018-17246 para esta vulnerabilidad.

Encuesta valoración