CVE-2023-31416 – Elastic Cloud on Kubernetes (ECK) secret token configuration issue
https://notcve.org/view.php?id=CVE-2023-31416
Secret token configuration is never applied when using ECK <2.8 with APM Server >=8.0. This could lead to anonymous requests to an APM Server being accepted and the data ingested into this APM deployment. La configuración del token secreto nunca se aplica cuando se usa ECK <2.8 con APM Server>=8.0. Esto podría dar lugar a que se acepten solicitudes anónimas a un servidor APM y que los datos se ingieran en esta implementación de APM. • https://discuss.elastic.co/t/elastic-cloud-on-kubernetes-eck-2-8-security-update/343854 https://www.elastic.co/community/security • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2020-7010
https://notcve.org/view.php?id=CVE-2020-7010
Elastic Cloud on Kubernetes (ECK) versions prior to 1.1.0 generate passwords using a weak random number generator. If an attacker is able to determine when the current Elastic Stack cluster was deployed they may be able to more easily brute force the Elasticsearch credentials generated by ECK. Elastic Cloud on Kubernetes (ECK) versiones anteriores a 1.1.0, generan contraseñas usando un generador de números aleatorios débil. Si un atacante puede determinar cuándo el clúster de Elastic Stack actual se implementó, puede ser capaz de forzar más fácilmente con fuerza bruta las credenciales de Elasticsearch generadas por ECK. • https://www.elastic.co/community/security • CWE-335: Incorrect Usage of Seeds in Pseudo-Random Number Generator (PRNG) •