CVE-2021-22146

Опубликовано: 21 июл. 2021

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Средний

Описание

All versions of Elastic Cloud Enterprise has the Elasticsearch “anonymous” user enabled by default in deployed clusters. While in the default setting the anonymous user has no permissions and is unable to successfully query any Elasticsearch APIs, an attacker could leverage the anonymous user to gain insight into certain details of a deployed cluster.

Ссылки

http://packetstormsecurity.com/files/163655/Elasticsearch-ECE-7.13.3-Database-Disclosure.html
Exploit
Third Party Advisory
VDB Entry
https://discuss.elastic.co/t/elastic-cloud-enterprise-security-update/279180
Vendor Advisory
https://security.netapp.com/advisory/ntap-20210819-0005/
Third Party Advisory
http://packetstormsecurity.com/files/163655/Elasticsearch-ECE-7.13.3-Database-Disclosure.html
Exploit
Third Party Advisory
VDB Entry
https://discuss.elastic.co/t/elastic-cloud-enterprise-security-update/279180
Vendor Advisory
https://security.netapp.com/advisory/ntap-20210819-0005/
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:elastic:elasticsearch:7.13.3:*:*:*:*:*:*:*

EPSS

Процентиль: 97%

0.29897

Средний

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

NVD-CWE-Other

Связанные уязвимости

GHSA-wxcx-pqjc-2pp9

CVSS3: 7.5

github

больше 3 лет назад

BDU:2021-04001

CVSS3: 7.5

fstec

больше 4 лет назад

Уязвимость облачной платформы аналитики Elastic Cloud Enterprise, связанная с ошибками в настройках безопасности, позволяющая нарушителю получить доступ к защищаемой информации

EPSS

Процентиль: 97%

0.29897

Средний

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

NVD-CWE-Other