PT-2021-14865 · Elastic · Elasticsearch
Piotr Dłubisz
·
Publicado
2021-05-13
·
Atualizado
2024-03-06
·
CVE-2021-22137
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Elasticsearch anteriores à 7.11.2
Versões do Elasticsearch anteriores à 6.8.15
Descrição
Foi encontrada uma falha de divulgação de documentos quando a segurança no nível do documento ou do campo é utilizada. As consultas de pesquisa não preservam adequadamente as permissões de segurança ao executar determinadas consultas de pesquisa entre clusters. Isso pode resultar na divulgação, por meio da pesquisa, da existência de documentos que o invasor não deveria poder visualizar, potencialmente fornecendo ao invasor informações adicionais sobre índices confidenciais.
Recomendações
Para versões anteriores à 7.11.2, atualize para a versão 7.11.2 ou posterior para resolver o problema.
Para versões anteriores à 6.8.15, atualize para a versão 6.8.15 ou posterior para resolver o problema.
Correção
Information Disclosure
Improper Preservation of Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Elasticsearch