Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en X-Pack Alerting (CVE-2017-8448)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
29/09/2017
Última modificación:
20/04/2025

Descripción

Existe un error en el modelo de permisos utilizado en X-Pack Alerting desde la versión 5.0.0 hasta la 5.6.0, en donde los usuarios que tienen integrados ciertos roles podrían crear un "watch" que haría que esos usuarios obtengan privilegios elevados.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:elastic:x-pack:5.0.0:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.0.1:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.0.2:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.1.1:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.2.0:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.2.1:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.2.2:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.3.0:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.3.1:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.3.2:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.3.3:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.4.0:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.5.0:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.5.2:*:*:*:*:*:*:*
cpe:2.3:a:elastic:x-pack:5.6.0:*:*:*:*:*:*:*