PT-2020-19343 · Elastic · Vx Search Enterprise
Matt Peel
·
Publicado
2020-08-18
·
Atualizado
2020-08-26
·
CVE-2020-7018
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Elastic Enterprise Search anteriores à 7.9.0
Descrição
A vulnerabilidade permite que um usuário com a função
developer visualize as credenciais da API de administrador na interface do App Search. Essas credenciais poderiam permitir que o usuário developer realizasse operações com as mesmas permissões do administrador do App Search.Recomendações
Para versões anteriores à 7.9.0, atualize para a versão 7.9.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir a função
developer para minimizar o risco de exposição das credenciais.Correção
Incorrect Privilege Assignment
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vx Search Enterprise