Vulnerabilidad en Elasticsearch (CVE-2021-22145)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
21/07/2021
Última modificación:
08/07/2025
Descripción
Se ha identificado una vulnerabilidad de divulgación de memoria en los informes de errores de Elasticsearch versiones 7.10.0 hasta 7.13.3. Un usuario con la habilidad de enviar consultas arbitrarias a Elasticsearch podría enviar una consulta malformada que resultaría en un mensaje de error devuelto conteniendo porciones previamente usadas de un buffer de datos. Este búfer podría contener información confidencial, como documentos de Elasticsearch o detalles de autenticación
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:elastic:elasticsearch:*:*:*:*:*:*:*:* | 7.10.0 (incluyendo) | 7.13.3 (incluyendo) |
| cpe:2.3:a:oracle:communications_cloud_native_core_automated_test_suite:1.8.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/163648/ElasticSearch-7.13.3-Memory-Disclosure.html
- https://discuss.elastic.co/t/elasticsearch-7-13-4-security-update/279177
- https://gist.github.com/lucasdrufva/f9c5d7c9e26ee087b736d727953afd34
- https://security.netapp.com/advisory/ntap-20210827-0006/
- https://www.oracle.com/security-alerts/cpuapr2022.html
- http://packetstormsecurity.com/files/163648/ElasticSearch-7.13.3-Memory-Disclosure.html
- https://discuss.elastic.co/t/elasticsearch-7-13-4-security-update/279177
- https://security.netapp.com/advisory/ntap-20210827-0006/
- https://www.oracle.com/security-alerts/cpuapr2022.html