CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3831 – elasticsearch: Information exposure via _cluster/settings API
https://notcve.org/view.php?id=CVE-2018-3831
Elasticsearch Alerting and Monitoring in versions before 6.4.1 or 5.6.12 have an information disclosure issue when secrets are configured via the API. The Elasticsearch _cluster/settings API, when queried, could leak sensitive configuration information such as passwords, tokens, or usernames. This could allow an authenticated Elasticsearch user to improperly view these details. Elasticsearch Alerting and Monitoring en versiones anteriores a la 6.4.1 o 5.6.12 tiene una vulnerabilidad de divulgación de información cuando los secretos se configuran mediante la API. La API Elasticsearch _cluster/settings, cuando se hace una consulta, podría filtrar información de configuración sensible como contraseñas, tokens o nombres de usuario. • https://discuss.elastic.co/t/elastic-stack-6-4-1-and-5-6-12-security-update/149035 https://www.elastic.co/community/security https://access.redhat.com/security/cve/CVE-2018-3831 https://bugzilla.redhat.com/show_bug.cgi?id=1632452 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2018-3824
https://notcve.org/view.php?id=CVE-2018-3824
X-Pack Machine Learning versions before 6.2.4 and 5.6.9 had a cross-site scripting (XSS) vulnerability. If an attacker is able to inject data into an index that has a ML job running against it, then when another user views the results of the ML job it could allow the attacker to obtain sensitive information from or perform destructive actions on behalf of that other ML user. X-Pack Machine Learning en versiones anteriores a la 6.2.4 y 5.6.9 tenía una vulnerabilidad Cross-Site Scripting (XSS). Si un atacante es capaz de inyectar datos en un índice que tiene un trabajo ML ejecutándose contra él, entonces cuando otro usuario visualice los resultados del trabajo ML, podría permitir que el atacante obtenga información sensible o realice acciones destructivas en nombre de otros usuarios de ML que visualicen los resultados de los trabajos. • https://discuss.elastic.co/t/elastic-stack-6-2-4-and-5-6-9-security-update/128422 https://www.elastic.co/community/security • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.1EPSS: 0%CPEs: 3EXPL: 0CVE-2018-3827
https://notcve.org/view.php?id=CVE-2018-3827
A sensitive data disclosure flaw was found in the Elasticsearch repository-azure (formerly elasticsearch-cloud-azure) plugin. When the repository-azure plugin is set to log at TRACE level Azure credentials can be inadvertently logged. Se ha detectado un fallo de divulgación de datos sensibles en el plugin repository-azure (anteriormente conocido como elasticsearch-cloud-azure) de Elasticsearch. Cuando el plugin repository-azure está configurado para registrar a nivel de TRACE, las credenciales de Azure se puede registrar inadvertidamente. • https://discuss.elastic.co/t/elastic-stack-6-3-0-and-5-6-10-security-update/135777 https://www.elastic.co/community/security • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-3818
https://notcve.org/view.php?id=CVE-2018-3818
Kibana versions 5.1.1 to 6.1.2 and 5.6.6 had a cross-site scripting (XSS) vulnerability via the colored fields formatter that could allow an attacker to obtain sensitive information from or perform destructive actions on behalf of other Kibana users. Las versiones 5.1.1 a 6.1.2 y 5.6.6 de Kibana presentan una vulnerabilidad Cross-Site Scripting (XSS) a través del formateador de los campos de color que podrían permitir a un atacante obtener información sensible o realizar acciones destructivas en nombre de otros usuarios de Kibana. • http://www.securityfocus.com/bid/102734 https://discuss.elastic.co/t/elastic-stack-6-1-2-and-5-6-6-security-update/115763 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3821
https://notcve.org/view.php?id=CVE-2018-3821
Kibana versions after 5.1.1 and before 5.6.7 and 6.1.3 had a cross-site scripting (XSS) vulnerability in the tag cloud visualization that could allow an attacker to obtain sensitive information from or perform destructive actions on behalf of other Kibana users. Las versiones posteriores a la 5.1.1 y anteriores a la 5.6.7 y 6.1.3 de Kibana presentan una vulnerabilidad Cross-Site Scripting (XSS) en la visualización de la nube de etiquetas que podrían permitir a un atacante obtener información sensible o realizar acciones destructivas en nombre de otros usuarios de Kibana. • https://discuss.elastic.co/t/elastic-stack-6-1-3-and-5-6-7-security-update/117683 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •