PT-2026-54765 · Elastic+1 · Elasticsearch+1
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-46487
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
GeoNetwork versões 4.0.0-alpha.1 through 4.4.10
Description
Existe uma falha de bypass de autorização na API de busca baseada em Elasticsearch. A camada de proxy de busca é projetada para injetar filtros de controle de acesso e visibilidade nas requisições antes que estas alcancem o índice do Elasticsearch. No entanto, sob certas condições, essa etapa de filtragem é ignorada, permitindo que usuários não autenticados recuperem registros de metadados indexados que deveriam estar restritos. Essa falha ignora múltiplas camadas de segurança, incluindo visibilidade de registros baseada em grupos, exclusão de registros em rascunho, verificações de propriedade de registros e filtragem específica do portal, resultando na divulgação não autorizada de informações.
Recommendations
Atualize o GeoNetwork para uma versão posterior à 4.4.10.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Elasticsearch
Geonetwork