PT-2026-29872 · Elastic+1 · Elasticsearch+1
Din4
·
Publicado
2026-04-02
·
Atualizado
2026-04-03
·
CVE-2026-5417
CVSS v2.0
5.8
Média
| Vetor | AV:N/AC:L/Au:M/C:P/I:P/A:P |
Name of the Vulnerable Software and Affected Versions
Dataease SQLbot versões até 1.6.0
Description
A falsificação de solicitação do lado do servidor existe no componente Elasticsearch Handler, especificamente dentro da função
get es data by http do arquivo backend/apps/db/es engine.py. A manipulação do argumento address pode acionar este problema, permitindo a exploração remota. A exploração foi divulgada publicamente.Recommendations
Atualize para a versão 1.7.0 para resolver este problema.
Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dataease Sqlbot
Elasticsearch