Описание
X-Pack Machine Learning versions before 6.2.4 and 5.6.9 had a cross-site scripting (XSS) vulnerability. If an attacker is able to inject data into an index that has a ML job running against it, then when another user views the results of the ML job it could allow the attacker to obtain sensitive information from or perform destructive actions on behalf of that other ML user.
Ссылки
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 5.6.9 (исключая)Версия от 6.0.0 (включая) до 6.2.4 (исключая)
Одно из
cpe:2.3:a:elastic:elasticsearch_x-pack:*:*:*:*:*:*:*:*
cpe:2.3:a:elastic:elasticsearch_x-pack:*:*:*:*:*:*:*:*
Конфигурация 2Версия до 5.6.9 (исключая)Версия от 6.0.0 (включая) до 6.2.4 (исключая)
Одно из
cpe:2.3:a:elastic:kibana_x-pack:*:*:*:*:*:*:*:*
cpe:2.3:a:elastic:kibana_x-pack:*:*:*:*:*:*:*:*
Конфигурация 3Версия до 5.6.9 (исключая)Версия от 6.1.0 (включая) до 6.2.4 (исключая)
Одно из
cpe:2.3:a:elastic:logstash_x-pack:*:*:*:*:*:*:*:*
cpe:2.3:a:elastic:logstash_x-pack:*:*:*:*:*:*:*:*
EPSS
Процентиль: 50%
0.00271
Низкий
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-79
CWE-79
Связанные уязвимости
EPSS
Процентиль: 50%
0.00271
Низкий
6.1 Medium
CVSS3
4.3 Medium
CVSS2
Дефекты
CWE-79
CWE-79