Vulnerabilidad en X-Pack Security (CVE-2017-8449)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/06/2017
Última modificación:
20/04/2025
Descripción
X-Pack Security 5.2.x permitiría el acceso a más campos de los que el usuario debería haber visto si las reglas de seguridad a nivel de campo empleasen una combinación de reglas grant y exclude al combinar múltiples reglas con reglas de seguridad a nivel de campo para el mismo índice. 1763-L16BBB, series A y B, en versiones 16.00 y anteriores; 1763-L16BWA, series A y B, en versiones 16.00 y anteriores; 1763-L16DWD, series A y B, en versiones 16.00 y anteriores; y los controladores lógicos programables Allen-Bradley MicroLogix 1400 1766-L32AWA, series A y B, en versiones 16.00 y anteriores; 1766-L32BWA, series A y B, en versiones 16.00 y anteriores; 1766-L32BWAA, series A y B, en versiones 16.00 y anteriores; 1766-L32BXB, series A y B, en versiones 16.00 y anteriores; 1766-L32BXBA, series A y B, en versiones 16.00 y anteriores; y 1766-L32AWAA, series A y B, en versiones 16.00 y anteriores. Se generan números de secuencia inicial TCP que no son lo suficientemente aleatorios, lo que podría permitir que un atacante prediga los números de valores anteriores. Esto podría permitir que un atacante suplante o interrumpa las conexiones TCP, lo que resulta en una denegación de servicio (DoS) para el dispositivo objetivo.
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:elastic:x-pack:*:*:*:*:*:*:*:* | 5.2.0 (incluyendo) | 5.2.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página