CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2018-3824
https://notcve.org/view.php?id=CVE-2018-3824
X-Pack Machine Learning versions before 6.2.4 and 5.6.9 had a cross-site scripting (XSS) vulnerability. If an attacker is able to inject data into an index that has a ML job running against it, then when another user views the results of the ML job it could allow the attacker to obtain sensitive information from or perform destructive actions on behalf of that other ML user. X-Pack Machine Learning en versiones anteriores a la 6.2.4 y 5.6.9 tenía una vulnerabilidad Cross-Site Scripting (XSS). Si un atacante es capaz de inyectar datos en un índice que tiene un trabajo ML ejecutándose contra él, entonces cuando otro usuario visualice los resultados del trabajo ML, podría permitir que el atacante obtenga información sensible o realice acciones destructivas en nombre de otros usuarios de ML que visualicen los resultados de los trabajos. • https://discuss.elastic.co/t/elastic-stack-6-2-4-and-5-6-9-security-update/128422 https://www.elastic.co/community/security • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3817
https://notcve.org/view.php?id=CVE-2018-3817
When logging warnings regarding deprecated settings, Logstash before 5.6.6 and 6.x before 6.1.2 could inadvertently log sensitive information. Cuando se registran avisos sobre configuraciones obsoletas, Logstash en versiones anteriores a la 5.6.6 y 6.x anteriores a la 6.1.2 podría registrar de manera inadvertida información sensible. • https://discuss.elastic.co/t/elastic-stack-6-1-2-and-5-6-6-security-update/115763 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-1000221
https://notcve.org/view.php?id=CVE-2016-1000221
Logstash prior to version 2.3.4, Elasticsearch Output plugin would log to file HTTP authorization headers which could contain sensitive information. En la versión anterior de Logstash en su versión 2.3.4, el plugin Elasticsearch Output registraría en las cabeceras de autorización de archivos HTTP, los cuales podrían contener información sensible. • http://www.securityfocus.com/bid/99126 https://www.elastic.co/community/security • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-1000222
https://notcve.org/view.php?id=CVE-2016-1000222
Logstash prior to version 2.1.2, the CSV output can be attacked via engineered input that will create malicious formulas in the CSV data. En la versión anterior de Logstash en su versión 2.1.2, la salida de un CSV puede ser atacada mediante una entrada ingeniada la cual puede crear formula maliciosas en los datos del CSV. • https://www.elastic.co/community/security • CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-10363
https://notcve.org/view.php?id=CVE-2016-10363
Logstash versions prior to 2.3.3, when using the Netflow Codec plugin, a remote attacker crafting malicious Netflow v5, Netflow v9 or IPFIX packets could perform a denial of service attack on the Logstash instance. The errors resulting from these crafted inputs are not handled by the codec and can cause the Logstash process to exit. Logstash en versiones anteriores a la 2.3.3, cuando se usa el plugin Netflow Codec plugin, un atacante remoto modificando maliciosamente Netflow v5, Netflow v9 o paquetes IPFIX podría realizar un ataque de denegación de servicio en la instancia Logstash. Los errores resultantes de esa entrada modifica no son majedos por el codec y pueden provocar la salida del proceso de Logstash • https://www.elastic.co/community/security • CWE-248: Uncaught Exception CWE-404: Improper Resource Shutdown or Release •