CVE-2020-2143
https://notcve.org/view.php?id=CVE-2020-2143
Jenkins Logstash Plugin 2.3.1 and earlier transmits configured credentials in plain text as part of its global Jenkins configuration form, potentially resulting in their exposure. Jenkins Logstash Plugin versiones 2.3.1 y anteriores, transmite las credenciales configuradas en texto plano como parte de su formulario de configuración de Jenkins global, resultando potencialmente en su exposición. • http://www.openwall.com/lists/oss-security/2020/03/09/1 https://jenkins.io/security/advisory/2020-03-09/#SECURITY-1516 • CWE-319: Cleartext Transmission of Sensitive Information •
CVE-2019-7612
https://notcve.org/view.php?id=CVE-2019-7612
A sensitive data disclosure flaw was found in the way Logstash versions before 5.6.15 and 6.6.1 logs malformed URLs. If a malformed URL is specified as part of the Logstash configuration, the credentials for the URL could be inadvertently logged as part of the error message. Se ha encontrado un error de divulgación de datos sensibles en la manera en la que las versiones de Logstash anteriores a las 5.6.15 y 6.6.1 registran URL mal formadas. Si una URL mal formada forma parte de la configuración del LogStash, las credenciales de la URL podrían ser accidentalmente registradas como parte del mensaje de error. • https://discuss.elastic.co/t/elastic-stack-6-6-1-and-5-6-15-security-update/169077 https://security.netapp.com/advisory/ntap-20190411-0002 https://www.elastic.co/community/security • CWE-209: Generation of Error Message Containing Sensitive Information CWE-532: Insertion of Sensitive Information into Log File •
CVE-2018-3817
https://notcve.org/view.php?id=CVE-2018-3817
When logging warnings regarding deprecated settings, Logstash before 5.6.6 and 6.x before 6.1.2 could inadvertently log sensitive information. Cuando se registran avisos sobre configuraciones obsoletas, Logstash en versiones anteriores a la 5.6.6 y 6.x anteriores a la 6.1.2 podría registrar de manera inadvertida información sensible. • https://discuss.elastic.co/t/elastic-stack-6-1-2-and-5-6-6-security-update/115763 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-532: Insertion of Sensitive Information into Log File •
CVE-2017-14730
https://notcve.org/view.php?id=CVE-2017-14730
The init script in the Gentoo app-admin/logstash-bin package before 5.5.3 and 5.6.x before 5.6.1 has "chown -R" calls for user-writable directory trees, which allows local users to gain privileges by leveraging access to a $LS_USER account for creation of a hard link. El script init en el paquete app-admin/logstash-bin de Gentoo en versiones anteriores a la 5.5.3 y las versiones 5.6.x anteriores a la 5.6.1 tiene llamadas "chown -R" para árboles de directorio escribibles por los usuarios, lo que permite que los usuarios locales obtengan privilegios aprovechando el acceso a una cuenta $LS_USER para crear un vínculo físico. • https://bugs.gentoo.org/628558 https://github.com/gentoo/gentoo/pull/5665 https://gitweb.gentoo.org/repo/gentoo.git/commit/?id=18f97c851c209f291b31ae7a902719f1c17c79fa https://gitweb.gentoo.org/repo/gentoo.git/commit/?id=bbd6cb398c1740c68e9b1b78340c887c58c1fbda • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2016-1000221
https://notcve.org/view.php?id=CVE-2016-1000221
Logstash prior to version 2.3.4, Elasticsearch Output plugin would log to file HTTP authorization headers which could contain sensitive information. En la versión anterior de Logstash en su versión 2.3.4, el plugin Elasticsearch Output registraría en las cabeceras de autorización de archivos HTTP, los cuales podrían contener información sensible. • http://www.securityfocus.com/bid/99126 https://www.elastic.co/community/security • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •