【漏洞预警】Kibana < 6.6.1 远程命令执行漏洞（CVE-2019-7609）

2019年10月17日，飓风安全应急响应中心监测到国外安全研究人员披露Kibana远程命令执行漏洞(CVE-2019-7609)利用代码。攻击者通过构造特定的请求，成功利用漏洞可在目标服务器上执行任意命令，风险极大。

漏洞描述

Kibana是Elasticsearch的开源数据可视化插件。攻击者利用漏洞可以通过Timelion组件中的JavaScript原型链污染攻击，向Kibana发起相关请求，从而接管所在服务器，在服务器上执行任意命令。

影响版本

Kibana < 6.6.1

Kibana < 5.6.15

安全建议

升级Kibana至新版本

相关链接

https://slides.com/securitymb/prototype-pollution-in-kibana

https://discuss.elastic.co/t/elastic-stack-6-6-1-and-5-6-15-security-update/169077

我们会关注后续进展，请随时关注官方公告。

本文始发于微信公众号（飓风网络安全）：【漏洞预警】Kibana < 6.6.1 远程命令执行漏洞（CVE-2019-7609）