PT-2021-12634 · Elastic · Elasticsearch
Publicado
2021-02-10
·
Atualizado
2024-03-06
·
CVE-2020-7021
CVSS v3.1
4.9
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Elasticsearch anteriores à 7.10.0
Versões do Elasticsearch anteriores à 6.8.14
Descrição:
O problema está relacionado a uma falha de divulgação de informações quando o registro de auditoria e a opção
emit request body estão habilitados. Isso pode fazer com que o registro de auditoria do Elasticsearch contenha informações confidenciais, como hashes de senha ou tokens de autenticação, permitindo que um administrador do Elasticsearch visualize esses detalhes.Recomendações:
Para versões do Elasticsearch anteriores à 7.10.0, atualize para a versão 7.10.0 ou posterior para resolver o problema.
Para versões do Elasticsearch anteriores à 6.8.14, atualize para a versão 6.8.14 ou posterior para resolver o problema.
Como solução alternativa temporária, considere desativar a opção
emit request body para impedir que informações confidenciais sejam registradas até que um patch seja aplicado.Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Elasticsearch