[TLP:CLEAR] Elasticsearch a Kibana opravujú 3 zraniteľnosti
Elastic verziou 8.14.0 opravuje 3 zraniteľnosti v produktoch Elasticsearch a Kibana [1][2][3].
Autentizovanému vzdialenému útočníkovi s právami na zobrazovanie je v Kibana umožnené vykonať DoS útok pomocou pravidiel upozornení [3].
Zraniteľnosť sa nachádza v produkte Kibana vo verziách >=8.6.3 AND <8.14.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
Viac informácií:
- CVE-2024-37279 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 5. 6. 2024.
Autentizovanému vzdialenému útočníkovi je v Elasticsearch umožnené vykonať DoS útok pomocou funkcionality na spracovávanie dokumentov [2].
Zraniteľnosť sa nachádza v produkte Elasticsearch vo verziách >=8.13.1 AND <8.14.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-37280 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-121: Stack-based Buffer Overflow at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 7. 6. 2024.
Autentizovanému vzdialenému útočníkovi je v Elasticsearch umožnené neoprávnene pristupovať k niektorým dokumentom pomocou vyhľadávania [1].
Zraniteľnosť sa nachádza v produkte Elasticsearch vo verziách >=8.10.0 AND <8.14.0.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2024-23445 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 6. 6. 2024.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 10. 6. 2024.
