Podatność CVE-2018-3825


Publikacja: 2018-09-19

Opis:
In Elastic Cloud Enterprise (ECE) versions prior to 1.1.4 a default master encryption key is used in the process of granting ZooKeeper access to Elasticsearch clusters. Unless explicitly overwritten, this master key is predictable across all ECE deployments. If an attacker can connect to ZooKeeper directly they would be able to access configuration information of other tenants if their cluster ID is known.

Typ:

CWE-1188

CVSS2 => (AV:N/AC:M/Au:N/C:P/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.3/10
2.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Brak
Brak
Affected software
Elastic -> Elastic cloud enterprise 

 Referencje:
https://discuss.elastic.co/t/elastic-cloud-enterprise-1-1-4-security-update/135778
https://www.elastic.co/community/security

Copyright 2024, cxsecurity.com

 

Back to Top