CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2022-23710
https://notcve.org/view.php?id=CVE-2022-23710
A cross-site-scripting (XSS) vulnerability was discovered in the Data Preview Pane (previously known as Index Pattern Preview Pane) which could allow arbitrary JavaScript to be executed in a victim’s browser. Se ha detectado una vulnerabilidad de tipo cross-site-scripting (XSS) en Data Preview Pane (anteriormente conocido como Index Pattern Preview Pane) que podría permitir una ejecución de JavaScript arbitrario en el navegador de una víctima • https://discuss.elastic.co/t/elastic-stack-7-17-1-security-update/298447 https://security.netapp.com/advisory/ntap-20220325-0009 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2022-23709
https://notcve.org/view.php?id=CVE-2022-23709
A flaw was discovered in Kibana in which users with Read access to the Uptime feature could modify alerting rules. A user with this privilege would be able to create new alerting rules or overwrite existing ones. However, any new or modified rules would not be enabled, and a user with this privilege could not modify alerting connectors. This effectively means that Read users could disable existing alerting rules. Se ha detectado un fallo en Kibana en el que usuarios con acceso de lectura a la función de tiempo de actividad podían modificar las reglas de alerta. • https://discuss.elastic.co/t/elastic-stack-7-17-1-security-update/298447 • CWE-264: Permissions, Privileges, and Access Controls CWE-862: Missing Authorization •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2022-23708
https://notcve.org/view.php?id=CVE-2022-23708
A flaw was discovered in Elasticsearch 7.17.0’s upgrade assistant, in which upgrading from version 6.x to 7.x would disable the in-built protections on the security index, allowing authenticated users with “*” index permissions access to this index. Se ha detectado un fallo en el asistente de actualización de Elasticsearch versión 7.17.0, en el que la actualización de la versión 6.x a 7.x deshabilitaba las protecciones incorporadas en el índice de seguridad, permitiendo a usuarios autenticados con permisos de índice "*" acceder a este índice • https://discuss.elastic.co/t/elastic-stack-7-17-1-security-update/298447 https://security.netapp.com/advisory/ntap-20220729-0003 • CWE-264: Permissions, Privileges, and Access Controls •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-23707
https://notcve.org/view.php?id=CVE-2022-23707
An XSS vulnerability was found in Kibana index patterns. Using this vulnerability, an authenticated user with permissions to create index patterns can inject malicious javascript into the index pattern which could execute against other users Se encontró una vulnerabilidad de tipo XSS en los patrones de índice de Kibana. Usando esta vulnerabilidad, un usuario autenticado con permisos para crear patrones de índice puede inyectar javascript malicioso en el patrón de índice que podría ejecutarse contra otros usuarios • https://discuss.elastic.co/t/kibana-7-17-0-security-update/296215 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37941
https://notcve.org/view.php?id=CVE-2021-37941
A local privilege escalation issue was found with the APM Java agent, where a user on the system could attach a malicious file to an application running with the APM Java agent. Using this vector, a malicious or compromised user account could use the agent to run commands at a higher level of permissions than they possess. This vulnerability affects users that have set up the agent via the attacher cli 3, the attach API 2, as well as users that have enabled the profiling_inferred_spans_enabled option Se encontró un problema de escalada de privilegios local con el agente Java de APM, donde un usuario en el sistema podría adjuntar un archivo malicioso a una aplicación que es ejecutada con el agente Java de APM. Usando este vector, una cuenta de usuario maliciosa o comprometida podría usar el agente para ejecutar comandos con un nivel de permisos superior al que posee. Esta vulnerabilidad afecta a los usuarios que han configurado el agente por medio del attacher cli 3, el attach API 2, así como a usuarios que han habilitado la opción profiling_inferred_spans_enabled • https://discuss.elastic.co/t/apm-java-agent-security-update/289627 • CWE-269: Improper Privilege Management •