Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07418

Опубликовано: 07 сент. 2023
Источник: fstec
CVSS3: 4.1
CVSS2: 3.7
EPSS Низкий

Описание

Уязвимость реализации прикладного программного интерфейса поисковой системы Elasticsearch связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию

Вендор

Elastic NV

Наименование ПО

Elasticsearch

Версия ПО

от 7.0.0 до 7.17.12 включительно (Elasticsearch)
от 8.0.0 до 8.9.1 включительно (Elasticsearch)

Тип ПО

СУБД

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,1)

Возможные меры по устранению уязвимости

Обновление поисковой системы Elasticsearch до версии 7.17.13, 8.9.2 и выше

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 16%
0.00052
Низкий

4.1 Medium

CVSS3

3.7 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-31417

CVSS3: 4.1
ubuntu
больше 2 лет назад

Elasticsearch generally filters out sensitive information and credentials before logging to the audit log. It was found that this filtering was not applied when requests to Elasticsearch use certain deprecated URIs for APIs. The impact of this flaw is that sensitive information such as passwords and tokens might be printed in cleartext in Elasticsearch audit logs. Note that audit logging is disabled by default and needs to be explicitly enabled and even when audit logging is enabled, request bodies that could contain sensitive information are not printed to the audit log unless explicitly configured.

redhat логотип

CVE-2023-31417

CVSS3: 4.1
redhat
больше 2 лет назад

Elasticsearch generally filters out sensitive information and credentials before logging to the audit log. It was found that this filtering was not applied when requests to Elasticsearch use certain deprecated URIs for APIs. The impact of this flaw is that sensitive information such as passwords and tokens might be printed in cleartext in Elasticsearch audit logs. Note that audit logging is disabled by default and needs to be explicitly enabled and even when audit logging is enabled, request bodies that could contain sensitive information are not printed to the audit log unless explicitly configured.

nvd логотип

CVE-2023-31417

CVSS3: 4.1
nvd
больше 2 лет назад

Elasticsearch generally filters out sensitive information and credentials before logging to the audit log. It was found that this filtering was not applied when requests to Elasticsearch use certain deprecated URIs for APIs. The impact of this flaw is that sensitive information such as passwords and tokens might be printed in cleartext in Elasticsearch audit logs. Note that audit logging is disabled by default and needs to be explicitly enabled and even when audit logging is enabled, request bodies that could contain sensitive information are not printed to the audit log unless explicitly configured.

debian логотип

CVE-2023-31417

CVSS3: 4.1
debian
больше 2 лет назад

Elasticsearch generally filters out sensitive information and credenti ...

github логотип

GHSA-99pc-69q9-jxf2

CVSS3: 4.1
github
больше 2 лет назад

Elasticsearch allows insertion of sensitive information into log files when using deprecated URIs

EPSS

Процентиль: 16%
0.00052
Низкий

4.1 Medium

CVSS3

3.7 Low

CVSS2