Vulnerabilidad en las credenciales de la API de administrador en la Interfaz App Search en Elastic Enterprise Search (CVE-2020-7018)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
18/08/2020
Última modificación:
26/08/2020
Descripción
Elastic Enterprise Search versiones anteriores a 7.9.0, contiene un fallo de exposición de credenciales en la Interfaz App Search. Si a un usuario se le asigna el rol �developer�, podrá visualizar las credenciales de la API de administrador. Estas credenciales podrían permitir al usuario desarrollador conducir operaciones con los mismos permisos del administrador de App Search.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:elastic:enterprise_search:*:*:*:*:*:*:*:* | 7.9.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página