[TLP:CLEAR] Elasticsearch opravuje 2 zraniteľnosti

Elastic verziou 8.13.0 opravuje 2 zraniteľnosti v produkte Elasticsearch [1][2].

Elasticsearch - improper authorization (CVE-2024-23451) CVSS 4.4 (Medium)

Autentizovanému vzdialenému útočníkovi vlastniacemu API kľúč ku vzdialenému klastru je za určitých okolností umožnené neoprávnene zobrazovať ľubovolné dokumenty z tohoto klastra [1].

Zraniteľnosť sa nachádza v produkte Elasticsearch vo verziách >=8.10.0 AND <8.13.0.

CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N

Viac informácií:

Zraniteľnosť bola verejne oznámená 27. 3. 2024.

Elasticsearch - DoS (CVE-2024-23450) CVSS 4.9 (Medium)

Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok mnohonásobným spracovávaním súboru [2].

Zraniteľnosť sa nachádza v produkte Elasticsearch vo verziách (>=7.0.0 AND <7.17.19) OR (>=8.0.0 AND <8.13.0).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 27. 3. 2024.


Publikoval Martin Krajči dňa 28. 3. 2024.

CESNET CERTS Logo