PT-2021-14870 · Elastic · Elasticsearch
Lucas Drufva
·
Publicado
2021-07-21
·
Atualizado
2025-07-08
·
CVE-2021-22145
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Elasticsearch de 7.10.0 a 7.13.3
Descrição:
Foi identificada uma falha de divulgação de memória no sistema de relatório de erros, permitindo que um usuário capaz de enviar consultas arbitrárias possa, potencialmente, obter informações confidenciais — incluindo documentos do Elasticsearch ou detalhes de autenticação — ao enviar uma consulta malformada que resulte em uma mensagem de erro contendo partes de um buffer de dados utilizadas anteriormente.
Recomendações:
Para as versões 7.10.0 a 7.13.3 do Elasticsearch, atualize para uma versão que contenha uma correção para este problema, a fim de evitar uma possível exploração.
Exploit
Correção
Information Disclosure
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Elasticsearch