Vulnerabilidad en el analizador Grok en Elasticsearch (CVE-2021-22144)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/07/2021
Última modificación:
10/05/2022
Descripción
En Elasticsearch versiones anteriores a 7.13.3 y la 6.8.17, se ha identificado una vulnerabilidad de recursión no controlada que podía conllevar a un ataque de denegación de servicio en el analizador Grok de Elasticsearch. Un usuario con la capacidad de enviar consultas arbitrarias a Elasticsearch podría crear una consulta Grok maliciosa que bloquearía el nodo de Elasticsearch
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:elastic:elasticsearch:*:*:*:*:*:*:*:* | 6.8.17 (excluyendo) | |
| cpe:2.3:a:elastic:elasticsearch:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.13.3 (excluyendo) |
| cpe:2.3:a:oracle:communications_cloud_native_core_automated_test_suite:1.8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página