CVSS: 7.2EPSS: 0%CPEs: 1EXPL: 0CVE-2019-7617
https://notcve.org/view.php?id=CVE-2019-7617
When the Elastic APM agent for Python versions before 5.1.0 is run as a CGI script, there is a variable name clash flaw if a remote attacker can control the proxy header. This could result in an attacker redirecting collected APM data to a proxy of their choosing. Cuando el agente Elastic APM para Python versiones anteriores a 5.1.0 es ejecutado como un script de CGI, se presenta un fallo de choque de nombre de variable si un atacante remoto puede controlar el encabezado proxy. Esto podría resultar en que un atacante redireccione los datos de APM recopilados para un proxy de su elección. • https://discuss.elastic.co/t/elastic-apm-agent-for-python-5-1-0-security-update/196145 https://www.elastic.co/community/security • CWE-20: Improper Input Validation •
CVSS: 7.4EPSS: 0%CPEs: 1EXPL: 0CVE-2019-7615
https://notcve.org/view.php?id=CVE-2019-7615
A TLS certificate validation flaw was found in Elastic APM agent for Ruby versions before 2.9.0. When specifying a trusted server CA certificate via the 'server_ca_cert' setting, the Ruby agent would not properly verify the certificate returned by the APM server. This could result in a man in the middle style attack against the Ruby agent. Se encontró una fallo de comprobación del certificado TLS en el agente APM de Elastic para Ruby versiones anteriores a 2.9.0. Cuando se especifica un certificado de CA de un servidor de confianza por medio de la configuración "server_ca_cert", el agente de Ruby no comprobaría apropiadamente el certificado devuelto por el servidor APM. • https://www.elastic.co/community/security • CWE-295: Improper Certificate Validation •