CVE-2024-23448

Опубликовано: 07 фев. 2024

Источник: nvd

CVSS3: 5.7

CVSS3: 7.5

EPSS Низкий

Описание

An issue was discovered whereby APM Server could log at ERROR level, a response from Elasticsearch indicating that indexing the document failed and that response would contain parts of the original document. Depending on the nature of the document that the APM Server attempted to ingest, this could lead to the insertion of sensitive or private information in the APM Server logs.

Ссылки

https://discuss.elastic.co/t/apm-server-8-12-1-security-update-esa-2024-03/352688
Vendor Advisory
https://www.elastic.co/community/security
Vendor Advisory
https://discuss.elastic.co/t/apm-server-8-12-1-security-update-esa-2024-03/352688
Vendor Advisory
https://www.elastic.co/community/security
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:elastic:apm_server:*:*:*:*:*:*:*:*

Версия до 8.12.1 (исключая)

EPSS

Процентиль: 47%

0.00243

Низкий

5.7 Medium

CVSS3

7.5 High

CVSS3

Дефекты

CWE-532

Связанные уязвимости

GHSA-8r33-q5j5-rh7g

CVSS3: 5.7

github

почти 2 года назад

APM Server vulnerable to Insertion of Sensitive Information into Log File

BDU:2024-01384

CVSS3: 5.7

fstec

около 2 лет назад

Уязвимость серверного программного средства мониторинга и анализа производительности приложений Elastic APM Server, связанная с раскрытием информации через регистрационные файлы, позволяющая нарушителю оказать воздействие на конфиденциальность защищаемой информации

EPSS

Процентиль: 47%

0.00243

Низкий

5.7 Medium

CVSS3

7.5 High

CVSS3

Дефекты

CWE-532