Podatność CVE-2021-22146
Publikacja: 2021-07-21

Opis:
All versions of Elastic Cloud Enterprise has the Elasticsearch ??anonymous? user enabled by default in deployed clusters. While in the default setting the anonymous user has no permissions and is unable to successfully query any Elasticsearch APIs, an attacker could leverage the anonymous user to gain insight into certain details of a deployed cluster.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
High
Elasticsearch ECE 7.13.3 Database Disclosure
Joan Martinez
26.07.2021

Typ:

CWE-668

 (Exposure of Resource to Wrong Sphere)

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
5/10
2.9/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Brak
Brak
Affected software
Elastic -> Elasticsearch 

 Referencje:
https://discuss.elastic.co/t/elastic-cloud-enterprise-security-update/279180
http://packetstormsecurity.com/files/163655/Elasticsearch-ECE-7.13.3-Database-Disclosure.html
Copyright 2024, cxsecurity.com

 

Back to Top