[TLP:CLEAR] Elasticsearch opravuje 2 zraniteľnosti
Elastic verziou 8.13.0 opravuje 2 zraniteľnosti v produkte Elasticsearch [1][2].
Autentizovanému vzdialenému útočníkovi vlastniacemu API kľúč ku vzdialenému klastru je za určitých okolností umožnené neoprávnene zobrazovať ľubovolné dokumenty z tohoto klastra [1].
Zraniteľnosť sa nachádza v produkte Elasticsearch vo verziách >=8.10.0 AND <8.13.0.
CVSS: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2024-23451 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-863: Incorrect Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 27. 3. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok mnohonásobným spracovávaním súboru [2].
Zraniteľnosť sa nachádza v produkte Elasticsearch vo verziách (>=7.0.0 AND <7.17.19) OR (>=8.0.0 AND <8.13.0).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2024-23450 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 27. 3. 2024.