CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2018-3823
https://notcve.org/view.php?id=CVE-2018-3823
X-Pack Machine Learning versions before 6.2.4 and 5.6.9 had a cross-site scripting (XSS) vulnerability. Users with manage_ml permissions could create jobs containing malicious data as part of their configuration that could allow the attacker to obtain sensitive information from or perform destructive actions on behalf of other ML users viewing the results of the jobs. X-Pack Machine Learning en versiones anteriores a la 6.2.4 y 5.6.9 tenía una vulnerabilidad Cross-Site Scripting (XSS). Los usuarios con permisos manage_ml podrían crear trabajos que contengan datos maliciosos como parte de su configuración que podrían permitir que el atacante obtenga información sensible o realice acciones destructivas en el nombre de otros usuarios de ML que visualicen los resultados de los trabajos. • https://discuss.elastic.co/t/elastic-stack-6-2-4-and-5-6-9-security-update/128422 https://www.elastic.co/community/security • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3817
https://notcve.org/view.php?id=CVE-2018-3817
When logging warnings regarding deprecated settings, Logstash before 5.6.6 and 6.x before 6.1.2 could inadvertently log sensitive information. Cuando se registran avisos sobre configuraciones obsoletas, Logstash en versiones anteriores a la 5.6.6 y 6.x anteriores a la 6.1.2 podría registrar de manera inadvertida información sensible. • https://discuss.elastic.co/t/elastic-stack-6-1-2-and-5-6-6-security-update/115763 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-1000222
https://notcve.org/view.php?id=CVE-2016-1000222
Logstash prior to version 2.1.2, the CSV output can be attacked via engineered input that will create malicious formulas in the CSV data. En la versión anterior de Logstash en su versión 2.1.2, la salida de un CSV puede ser atacada mediante una entrada ingeniada la cual puede crear formula maliciosas en los datos del CSV. • https://www.elastic.co/community/security • CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-1000221
https://notcve.org/view.php?id=CVE-2016-1000221
Logstash prior to version 2.3.4, Elasticsearch Output plugin would log to file HTTP authorization headers which could contain sensitive information. En la versión anterior de Logstash en su versión 2.3.4, el plugin Elasticsearch Output registraría en las cabeceras de autorización de archivos HTTP, los cuales podrían contener información sensible. • http://www.securityfocus.com/bid/99126 https://www.elastic.co/community/security • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-10363
https://notcve.org/view.php?id=CVE-2016-10363
Logstash versions prior to 2.3.3, when using the Netflow Codec plugin, a remote attacker crafting malicious Netflow v5, Netflow v9 or IPFIX packets could perform a denial of service attack on the Logstash instance. The errors resulting from these crafted inputs are not handled by the codec and can cause the Logstash process to exit. Logstash en versiones anteriores a la 2.3.3, cuando se usa el plugin Netflow Codec plugin, un atacante remoto modificando maliciosamente Netflow v5, Netflow v9 o paquetes IPFIX podría realizar un ataque de denegación de servicio en la instancia Logstash. Los errores resultantes de esa entrada modifica no son majedos por el codec y pueden provocar la salida del proceso de Logstash • https://www.elastic.co/community/security • CWE-248: Uncaught Exception CWE-404: Improper Resource Shutdown or Release •