PT-2021-14868 · Elastic · App Search
Dominic Couture
·
Publicado
2021-05-13
·
Atualizado
2021-05-21
·
CVE-2021-22140
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Elastic App Search posteriores à 7.11.0 e anteriores à 7.12.0
Descrição:
O problema consiste em uma vulnerabilidade de injeção de entidade externa XML (XXE) no recurso beta do rastreador da web do App Search. Um invasor pode explorar essa vulnerabilidade criando um arquivo sitemap.xml malicioso, o que lhe permite percorrer o sistema de arquivos do host que executa a instância e obter arquivos confidenciais.
Recomendações:
Para as versões do Elastic App Search posteriores à 7.11.0 e anteriores à 7.12.0, considere desativar o recurso beta do rastreador da web do App Search até que uma correção esteja disponível para evitar uma possível exploração.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
App Search