漏洞信息(CVE-2018-17246)

一、漏洞 CVE-2018-17246 基础信息

漏洞信息

                                        # N/A

## 漏洞概述
Kibana 版本早于 6.4.3 和 5.6.13 的 Console 插件中存在任意文件包含漏洞。攻击者可以利用 Kibana Console API 发送请求，尝试执行 JavaScript 代码，这可能导致攻击者在主机系统上以 Kibana 进程的权限执行任意命令。

## 影响版本
- 早于 6.4.3 的 6.x 系列版本
- 早于 5.6.13 的 5.x 系列版本

## 漏洞细节
任意文件包含漏洞允许攻击者通过 Kibana Console API 发送一个请求，尝试执行 JavaScript 代码。攻击者可以利用此漏洞发送一个经过精心设计的请求，导致服务尝试执行恶意的 JavaScript 代码。

## 影响
攻击者可能能够在主机系统上执行任意命令，权限与 Kibana 进程的权限相同。这会导致服务器被未经授权的访问或操作。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Kibana versions before 6.4.3 and 5.6.13 contain an arbitrary file inclusion flaw in the Console plugin. An attacker with access to the Kibana Console API could send a request that will attempt to execute javascript code. This could possibly lead to an attacker executing arbitrary commands with permissions of the Kibana process on the host system.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

文件名或路径的外部可控制

来源：美国国家漏洞数据库 NVD

漏洞标题

Elasticsearch Kibana Console插件安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Elasticsearch Kibana（前称elasticsearch-dashboard）是荷兰Elasticsearch公司的一套开源的、基于浏览器的分析和搜索Elasticsearch仪表板工具。Console是其中的一个控制台插件。 Elasticsearch Kibana 6.4.3之前版本和5.6.13之前版本中的Console插件存在安全漏洞。攻击者可通过发送请求利用该漏洞在主机操作系统上以Kibana进程权限执行任意命令。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

命令注入

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2018-17246 的公开POC

#	POC 描述	源链接	神龙链接
1	CVE-2018-17246 - Kibana LFI < 6.4.3 & 5.6.13	https://github.com/mpgn/CVE-2018-17246	POC详情
2	Kibana versions before 6.4.3 and 5.6.13 contain an arbitrary file inclusion flaw in the Console plugin. An attacker with access to the Kibana Console API could send a request that will attempt to execute JavaScript which could possibly lead to an attacker executing arbitrary commands with permissions of the Kibana process on the host system.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2018/CVE-2018-17246.yaml	POC详情
3	None	https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/Kibana%20%E6%9C%AC%E5%9C%B0%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB%E6%BC%8F%E6%B4%9E%20CVE-2018-17246.md	POC详情
4	None	https://github.com/chaitin/xray-plugins/blob/main/poc/manual/kibana-cve-2018-17246.yml	POC详情
5		https://github.com/vulhub/vulhub/blob/master/kibana/CVE-2018-17246/README.md	POC详情

三、漏洞 CVE-2018-17246 的情报信息

https://discuss.elastic.co/t/elastic-stack-6-4-3-and-5-6-13-security-update/155594 x_refsource_MISC
https://www.elastic.co/community/security x_refsource_CONFIRM
http://www.securityfocus.com/bid/106285 vdb-entry x_refsource_BID
https://access.redhat.com/errata/RHBA-2018:3743 vendor-advisory x_refsource_REDHAT
https://nvd.nist.gov/vuln/detail/CVE-2018-17246

一、 漏洞 CVE-2018-17246 基础信息

漏洞信息

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2018-17246 的公开POC

三、漏洞 CVE-2018-17246 的情报信息

一、漏洞 CVE-2018-17246 基础信息