CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-22140
https://notcve.org/view.php?id=CVE-2021-22140
Elastic App Search versions after 7.11.0 and before 7.12.0 contain an XML External Entity Injection issue (XXE) in the App Search web crawler beta feature. Using this vector, an attacker whose website is being crawled by App Search could craft a malicious sitemap.xml to traverse the filesystem of the host running the instance and obtain sensitive files. Elastic App Search versiones posteriores a 7.11.0 y anteriores a 7.12.0, contienen un problema de inyección de entidad externa XML (XXE) en la funcionalidad beta del rastreador web de App Search. Con este vector, un atacante cuyo sitio web está siendo rastreado por App Search podría diseñar un sitemap.xml malicioso para atravesar el sistema de archivos del host que ejecuta la instancia y obtener archivos confidenciales • https://discuss.elastic.co/t/7-12-1-security-update/271433 • CWE-611: Improper Restriction of XML External Entity Reference •