PT-2026-54765 · Elastic+1 · Elasticsearch+1

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-46487

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas GeoNetwork versões 4.0.0-alpha.1 through 4.4.10
Description Existe uma falha de bypass de autorização na API de busca baseada em Elasticsearch. A camada de proxy de busca é projetada para injetar filtros de controle de acesso e visibilidade nas requisições antes que estas alcancem o índice do Elasticsearch. No entanto, sob certas condições, essa etapa de filtragem é ignorada, permitindo que usuários não autenticados recuperem registros de metadados indexados que deveriam estar restritos. Essa falha ignora múltiplas camadas de segurança, incluindo visibilidade de registros baseada em grupos, exclusão de registros em rascunho, verificações de propriedade de registros e filtragem específica do portal, resultando na divulgação não autorizada de informações.
Recommendations Atualize o GeoNetwork para uma versão posterior à 4.4.10.

Correção

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-46487
GHSA-582Q-V28R-7CXR

Produtos afetados

Elasticsearch
Geonetwork