CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2018-3822
https://notcve.org/view.php?id=CVE-2018-3822
X-Pack Security versions 6.2.0, 6.2.1, and 6.2.2 are vulnerable to a user impersonation attack via incorrect XML canonicalization and DOM traversal. An attacker might have been able to impersonate a legitimate user if the SAML Identity Provider allows for self registration with arbitrary identifiers and the attacker can register an account which an identifier that shares a suffix with a legitimate account. Both of those conditions must be true in order to exploit this flaw. X-Pack Security en versiones 6.2.0, 6.2.1 y 6.2.2 son vulnerables a un ataque de suplantación de usuario mediante una canonización XML incorrecta y un salto de DOM. Un atacante podría suplantar la identidad de un usuario legítimo si el proveedor de identidades SAML permite el autorregistro con identificadores arbitrarios y el atacante puede registrar una cuenta con un identificador que comparte un sufijo con una cuenta legítima. • https://discuss.elastic.co/t/elastic-stack-6-2-3-security-update/124848 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') CWE-287: Improper Authentication •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3817
https://notcve.org/view.php?id=CVE-2018-3817
When logging warnings regarding deprecated settings, Logstash before 5.6.6 and 6.x before 6.1.2 could inadvertently log sensitive information. Cuando se registran avisos sobre configuraciones obsoletas, Logstash en versiones anteriores a la 5.6.6 y 6.x anteriores a la 6.1.2 podría registrar de manera inadvertida información sensible. • https://discuss.elastic.co/t/elastic-stack-6-1-2-and-5-6-6-security-update/115763 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3819
https://notcve.org/view.php?id=CVE-2018-3819
The fix in Kibana for ESA-2017-23 was incomplete. With X-Pack security enabled, Kibana versions before 6.1.3 and 5.6.7 have an open redirect vulnerability on the login page that would enable an attacker to craft a link that redirects to an arbitrary website. La solución en Kibana para ESA-2017-23 era incompleta. Con la seguridad X-Pack habilitada, las versiones anteriores a la 6.1.2 y 5.6.7 de Kibana tienen una vulnerabilidad de redirección abierta en la página de inicio de sesión que permitiría que un atacante cree un enlace que redirija a una página web arbitraria. • https://discuss.elastic.co/t/elastic-stack-6-1-3-and-5-6-7-security-update/117683 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-3820
https://notcve.org/view.php?id=CVE-2018-3820
Kibana versions after 6.1.0 and before 6.1.3 had a cross-site scripting (XSS) vulnerability in labs visualizations that could allow an attacker to obtain sensitive information from or perform destructive actions on behalf of other Kibana users. Las versiones posteriores a la 6.1.0 y anteriores a la 6.1.3 de Kibana presentan una vulnerabilidad Cross-Site Scripting (XSS) en las visualizaciones de los labs que podrían permitir a un atacante obtener información sensible o realizar acciones destructivas en nombre de otros usuarios de Kibana. • https://discuss.elastic.co/t/elastic-stack-6-1-3-and-5-6-7-security-update/117683 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 12EXPL: 0CVE-2017-11482
https://notcve.org/view.php?id=CVE-2017-11482
The Kibana fix for CVE-2017-8451 was found to be incomplete. With X-Pack installed, Kibana versions before 6.0.1 and 5.6.5 have an open redirect vulnerability on the login page that would enable an attacker to craft a link that redirects to an arbitrary website. Se ha descubierto que la corrección de Kibana para CVE-2017-8451 está incompleta. Con X-Pack instalado, las versiones anteriores a la 6.0.1 y 5.6.5 de Kibana tienen una vulnerabilidad de redirección abierta en la página de inicio de sesión que podrían permitir que un atacante cree un enlace que redirija a un sitio web arbitrario. • https://discuss.elastic.co/t/kibana-6-0-1-and-5-6-5-security-update/110571 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •