CVE-2018-17246 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Kibana Console 插件存在 **本地文件包含 (LFI)** 漏洞。<br>💥 **后果**：攻击者可利用此漏洞在主机操作系统上以 **Kibana 进程权限** 执行 **任意命令**。

🔍 **CWE**：CWE-73 (外部组件控制路径)。<br>🐛 **缺陷点**：Console 插件在处理请求时，**缺乏输入验证**，允许通过构造恶意路径包含任意文件。

📦 **厂商**：Elastic。<br>🎯 **组件**：Kibana (原 elasticsearch-dashboard) 的 **Console 插件**。<br>📉 **版本**：**6.4.3 之前** 和 **5.6.13 之前** 的版本。

👑 **权限**：获得 **Kibana 进程** 的系统权限。<br>💣 **能力**：执行 **任意命令** (Arbitrary Command Execution)。<br>📂 **数据**：结合文件上传漏洞，可进一步控制服务器。

⚠️ **门槛**：中等。<br>🔑 **前提**：攻击者需拥有 **Kibana Console API 的访问权限**。<br>🔗 **组合拳**：通常需配合 **不受限制的文件上传** 或其他写入漏洞，将恶意脚本上传至服务器后，通过 LFI 触发执行。

📜 **有 Exp**：是的，已有现成 PoC。<br>🔗 **来源**：CyberArk Labs 发现，GitHub 上有多个 PoC (如 `mpgn/CVE-2018-17246`)。<br>🌍 **在野**：数据未明确提及大规模在野利用，但 PoC 公开可用。

🔎 **自查特征**：检查 Kibana 版本是否低于 6.4.3 或 5.6.13。<br>🛠️ **扫描**：使用 Nuclei 模板 (`http/cves/2018/CVE-2018-17246.yaml`) 或 Xray 插件进行自动化扫描。<br>🕵️ **检测**：监控对 `/api/console/api_server` 接口的异常请求，特别是包含 `../../../../` 的路径。

🛡️ **已修复**：是的。<br>📅 **时间**：2018-12-20 发布安全更新。<br>✅ **方案**：升级至 **Kibana 6.4.3** 或 **5.6.13** 及以上版本。

🚧 **临时规避**：<br>1️⃣ **限制访问**：严格限制对 Kibana Console API 的访问权限。<br>2️⃣ **修复上传漏洞**：确保没有 **不受限制的文件上传** 漏洞，防止攻击者上传恶意 `.js` 文件。<br>3️⃣ **网络隔离**：限制 Kibana 服务器对外的网络连接。

🔥 **优先级**：**高**。<br>⚡ **理由**：可导致 **远程代码执行 (RCE)**，且 PoC 公开。若存在文件上传漏洞，利用难度极低。建议立即升级或实施缓解措施。