CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7612
https://notcve.org/view.php?id=CVE-2019-7612
A sensitive data disclosure flaw was found in the way Logstash versions before 5.6.15 and 6.6.1 logs malformed URLs. If a malformed URL is specified as part of the Logstash configuration, the credentials for the URL could be inadvertently logged as part of the error message. Se ha encontrado un error de divulgación de datos sensibles en la manera en la que las versiones de Logstash anteriores a las 5.6.15 y 6.6.1 registran URL mal formadas. Si una URL mal formada forma parte de la configuración del LogStash, las credenciales de la URL podrían ser accidentalmente registradas como parte del mensaje de error. • https://discuss.elastic.co/t/elastic-stack-6-6-1-and-5-6-15-security-update/169077 https://security.netapp.com/advisory/ntap-20190411-0002 https://www.elastic.co/community/security • CWE-209: Generation of Error Message Containing Sensitive Information CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3817
https://notcve.org/view.php?id=CVE-2018-3817
When logging warnings regarding deprecated settings, Logstash before 5.6.6 and 6.x before 6.1.2 could inadvertently log sensitive information. Cuando se registran avisos sobre configuraciones obsoletas, Logstash en versiones anteriores a la 5.6.6 y 6.x anteriores a la 6.1.2 podría registrar de manera inadvertida información sensible. • https://discuss.elastic.co/t/elastic-stack-6-1-2-and-5-6-6-security-update/115763 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.8EPSS: 0%CPEs: 18EXPL: 0CVE-2017-14730
https://notcve.org/view.php?id=CVE-2017-14730
The init script in the Gentoo app-admin/logstash-bin package before 5.5.3 and 5.6.x before 5.6.1 has "chown -R" calls for user-writable directory trees, which allows local users to gain privileges by leveraging access to a $LS_USER account for creation of a hard link. El script init en el paquete app-admin/logstash-bin de Gentoo en versiones anteriores a la 5.5.3 y las versiones 5.6.x anteriores a la 5.6.1 tiene llamadas "chown -R" para árboles de directorio escribibles por los usuarios, lo que permite que los usuarios locales obtengan privilegios aprovechando el acceso a una cuenta $LS_USER para crear un vínculo físico. • https://bugs.gentoo.org/628558 https://github.com/gentoo/gentoo/pull/5665 https://gitweb.gentoo.org/repo/gentoo.git/commit/?id=18f97c851c209f291b31ae7a902719f1c17c79fa https://gitweb.gentoo.org/repo/gentoo.git/commit/?id=bbd6cb398c1740c68e9b1b78340c887c58c1fbda • CWE-732: Incorrect Permission Assignment for Critical Resource •