Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-3823

Опубликовано: 19 сент. 2018
Источник: nvd
CVSS3: 5.4
CVSS2: 3.5
EPSS Низкий

Описание

X-Pack Machine Learning versions before 6.2.4 and 5.6.9 had a cross-site scripting (XSS) vulnerability. Users with manage_ml permissions could create jobs containing malicious data as part of their configuration that could allow the attacker to obtain sensitive information from or perform destructive actions on behalf of other ML users viewing the results of the jobs.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:elastic:elasticsearch_x-pack:*:*:*:*:*:*:*:*
Версия до 5.6.9 (исключая)
cpe:2.3:a:elastic:elasticsearch_x-pack:*:*:*:*:*:*:*:*
Версия от 6.0.0 (включая) до 6.2.4 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:elastic:kibana_x-pack:*:*:*:*:*:*:*:*
Версия до 5.6.9 (исключая)
cpe:2.3:a:elastic:kibana_x-pack:*:*:*:*:*:*:*:*
Версия от 6.0.0 (включая) до 6.2.4 (исключая)
Конфигурация 3

Одно из

cpe:2.3:a:elastic:logstash_x-pack:*:*:*:*:*:*:*:*
Версия до 5.6.9 (исключая)
cpe:2.3:a:elastic:logstash_x-pack:*:*:*:*:*:*:*:*
Версия от 6.1.0 (включая) до 6.2.4 (исключая)

EPSS

Процентиль: 42%
0.00202
Низкий

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79
CWE-79

Связанные уязвимости

github логотип

GHSA-4q33-p7w3-3rq8

CVSS3: 5.4
github
больше 3 лет назад

X-Pack Machine Learning versions before 6.2.4 and 5.6.9 had a cross-site scripting (XSS) vulnerability. Users with manage_ml permissions could create jobs containing malicious data as part of their configuration that could allow the attacker to obtain sensitive information from or perform destructive actions on behalf of other ML users viewing the results of the jobs.

EPSS

Процентиль: 42%
0.00202
Низкий

5.4 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-79
CWE-79