Уязвимость BDU:2020-02180

Идентификатор: BDU:2020-02180.

Наименование уязвимости: Уязвимость виртуализатора Timelion сервиса визуализации данных Kibana, позволяющая нарушителю выполнить произвольные команды.

Описание уязвимости: Уязвимость виртуализатора Timelion сервиса визуализации данных Kibana связана с недостаточным управлением генерации кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды
Уязвимое ПО: Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 4.1 | Прикладное ПО информационных систем Red Hat Inc. OpenShift Container Platform 3.11 | Прикладное ПО информационных систем Elastic NV Kibana до 5.6.15 | Прикладное ПО информационных систем Elastic NV Kibana от 6.0.0 до 6.6.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 19.02.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению:
Использование рекомендаций:
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-7609

Для Kibana:
https://discuss.elastic.co/t/elastic-stack-6-6-1-and-5-6-15-security-update/169077.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-7609.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://access.redhat.com/security/cve/cve-2019-7609
https://discuss.elastic.co/t/elastic-stack-6-6-1-and-5-6-15-security-update/169077
https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
http://packetstormsecurity.com/files/174569/Kibana-Timelion-Prototype-Pollution-Remote-Code-Execution.html