Vulnerabilidad en Elastic (CVE-2023-49921)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-532 Exposición de información a través de archivos de log

Fecha de publicación:

26/07/2024

Última modificación:

11/09/2024

Descripción

Elastic descubrió un problema por el cual la entrada de búsqueda de Watcher registraba los resultados de la consulta de búsqueda en el nivel de registro DEBUG. Esto podría provocar que el contenido sin procesar de los documentos almacenados en Elasticsearch se imprima en registros. Elastic lanzó las versiones 8.11.2 y 7.17.16 que resuelven este problema eliminando este registro excesivo. Este problema solo afecta a los usuarios que usan Watcher y tienen un Watch definido que usa la entrada de búsqueda y además han configurado el registrador de la entrada de búsqueda en DEBUG o más fino, por ejemplo usando: org.elasticsearch.xpack.watcher.input.search, org.elasticsearch .xpack.watcher.input, org.elasticsearch.xpack.watcher o más amplio, ya que los registradores son jerárquicos.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:elastic:elasticsearch::::::::	7.0.0 (incluyendo)	7.17.16 (excluyendo)
cpe:2.3:a:elastic:elasticsearch::::::::	8.0.0 (incluyendo)	8.11.2 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://discuss.elastic.co/t/elasticsearch-8-11-2-7-17-16-security-update-esa-2023-29/349179