L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Elasticsearch

bulletin de vulnérabilité CVE-2018-17244

Elasticsearch : obtention d'information via User Data Caching

Synthèse de la vulnérabilité

Produits concernés : Elasticsearch.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/11/2018.
Références : CVE-2018-17244, VIGILANCE-VUL-27713.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via User Data Caching de Elasticsearch, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-3831

Elasticsearch : obtention d'information via _cluster/settings API

Synthèse de la vulnérabilité

Produits concernés : Elasticsearch.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 19/09/2018.
Références : CVE-2018-3831, VIGILANCE-VUL-27266.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via _cluster/settings API de Elasticsearch, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 26642

Elasticsearch : obtention d'information via Remote Cluster Thread Context

Synthèse de la vulnérabilité

Produits concernés : Elasticsearch.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 06/07/2018.
Références : VIGILANCE-VUL-26642.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Remote Cluster Thread Context de Elasticsearch, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2018-3827

Elasticsearch : obtention d'information via repository-azure

Synthèse de la vulnérabilité

Produits concernés : Elasticsearch.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/06/2018.
Références : CVE-2018-3827, VIGILANCE-VUL-26431.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via repository-azure de Elasticsearch, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2018-3826

Elasticsearch : obtention d'information via _snapshot API

Synthèse de la vulnérabilité

Produits concernés : Elasticsearch.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/06/2018.
Références : CVE-2018-3826, ESA-2018-10, VIGILANCE-VUL-26430.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via _snapshot API de Elasticsearch, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-3823 CVE-2018-3824

Elasticsearch : Cross Site Scripting via X-Pack Machine Learning

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via X-Pack Machine Learning de Elasticsearch, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : Elasticsearch.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/04/2018.
Références : CVE-2018-3823, CVE-2018-3824, VIGILANCE-VUL-25908.

Description de la vulnérabilité

Le produit Elasticsearch dispose d'un service web.

Cependant, les données reçues via X-Pack Machine Learning ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via X-Pack Machine Learning de Elasticsearch, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-3822

X-Pack Security : élévation de privilèges via XML Canonicalization

Synthèse de la vulnérabilité

Produits concernés : Elasticsearch.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/03/2018.
Références : CVE-2018-3822, VIGILANCE-VUL-25613.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via XML Canonicalization de X-Pack Security, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2017-8447

Elasticsearch : élévation de privilèges via X-Pack Security delete/index

Synthèse de la vulnérabilité

Produits concernés : Elasticsearch.
Gravité : 2/4.
Conséquences : accès/droits privilégié, création/modification de données.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/09/2017.
Références : CVE-2017-8447, ESA-2017-18, VIGILANCE-VUL-23812.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via X-Pack Security delete/index de Elasticsearch, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2017-8445

Elastic X-Pack : élévation de privilèges via TLS Trust Manager

Synthèse de la vulnérabilité

Produits concernés : Elasticsearch.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/08/2017.
Références : CVE-2017-8445, ESA-2017-15, VIGILANCE-VUL-23572.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via TLS Trust Manager de Elastic X-Pack, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2017-8438 CVE-2017-8441

Elasticsearch : deux vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Elasticsearch.
Produits concernés : Elasticsearch.
Gravité : 2/4.
Conséquences : accès/droits privilégié, lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 02/06/2017.
Références : CVE-2017-8438, CVE-2017-8441, ESA-2017-06, ESA-2017-07, ESA-2017-08, ESA-2017-09, VIGILANCE-VUL-22892.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Elasticsearch.

Un attaquant peut contourner les mesures de sécurité via les index, afin d'obtenir des informations sensibles. [grav:1/4; CVE-2017-8441]

Un attaquant peut contourner les mesures de sécurité via la command "run_as", afin d'élever ses privilèges. [grav:2/4; CVE-2017-8438]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Elasticsearch :