【漏洞详情】

平安云监测到国外安全研究人员披露Kibana 5.6.15和6.6.1之前的版本在Timelion可视化工具中存在远程代码执行漏洞(CVE-2019-7609)，利用此漏洞，远程攻击者可通过污染JavaScript原型，向Kibana发起相关请求，从而接管所在服务器，在服务器上执行任意命令，此漏洞EXP已公开，建议受影响的用户尽快修复。

【风险评级】

高危

【影响范围】

Kibana < 6.6.1

Kibana < 5.6.15

【修复建议】

建议受影响用户综合评估漏洞风险和业务影响，可采用如下方案进行更新修复，避免安全风险：

一、升级Kibana到6.6.1或5.6.15安全版本，下载地址：https://discuss.elastic.co/t/elastic-stack-6-6-1-and-5-6-15-security-update/169077；

二、无法升级的用户可以通过在kibana.yml配置文件中将timelion.enabled设置为false来禁用Timelion；

三、开启Kibana的认证功能。

【参考链接】

https://slides.com/securitymb/prototype-pollution-in-kibana

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2019年10月18日