CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2024-23449 – Elasticsearch Uncaught Exception
https://notcve.org/view.php?id=CVE-2024-23449
An uncaught exception in Elasticsearch >= 8.4.0 and < 8.11.1 occurs when an encrypted PDF is passed to an attachment processor through the REST API. The Elasticsearch ingest node that attempts to parse the PDF file will crash. This does not happen with password-protected PDF files or with unencrypted PDF files. Se produce una excepción no detectada en Elasticsearch >= 8.4.0 y < 8.11.1 cuando se pasa un PDF cifrado a un procesador de archivos adjuntos a través de la API REST. El nodo de ingesta de Elasticsearch que intenta analizar el archivo PDF fallará. • https://discuss.elastic.co/t/elasticsearch-8-11-1-security-update-esa-2024-05/356458 • CWE-248: Uncaught Exception •
CVSS: 4.4EPSS: 0%CPEs: 1EXPL: 0CVE-2024-23451 – Elasticsearch Incorrect Authorization in the Remote Cluster Security API key based security model
https://notcve.org/view.php?id=CVE-2024-23451
Incorrect Authorization issue exists in the API key based security model for Remote Cluster Security, which is currently in Beta, in Elasticsearch 8.10.0 and before 8.13.0. This allows a malicious user with a valid API key for a remote cluster configured to use the new Remote Cluster Security to read arbitrary documents from any index on the remote cluster, and only if they use the Elasticsearch custom transport protocol to issue requests with the target index ID, the shard ID and the document ID. None of Elasticsearch REST API endpoints are affected by this issue. Existe un problema de autorización incorrecta en el modelo de seguridad basado en clave API para la seguridad de clúster remoto, que actualmente se encuentra en versión Beta, en Elasticsearch 8.10.0 y antes de 8.13.0. Esto permite que un usuario malintencionado con una clave API válida para un clúster remoto configurado para usar la nueva Seguridad de clúster remoto lea documentos arbitrarios de cualquier índice en el clúster remoto, y solo si utilizan el protocolo de transporte personalizado de Elasticsearch para emitir solicitudes con el ID del índice de destino, el ID del fragmento y el ID del documento. • https://discuss.elastic.co/t/elasticsearch-8-13-0-security-update-esa-2024-07/356315 • CWE-863: Incorrect Authorization •
CVSS: 4.9EPSS: 0%CPEs: 2EXPL: 0CVE-2024-23450 – Elasticsearch Uncontrolled Resource Consumption vulnerability
https://notcve.org/view.php?id=CVE-2024-23450
A flaw was discovered in Elasticsearch, where processing a document in a deeply nested pipeline on an ingest node could cause the Elasticsearch node to crash. Se descubrió una falla en Elasticsearch, donde el procesamiento de un documento en una canalización profundamente anidada en un nodo de ingesta podría provocar que el nodo Elasticsearch fallara. • https://discuss.elastic.co/t/elasticsearch-8-13-0-7-17-19-security-update-esa-2024-06/356314 https://security.netapp.com/advisory/ntap-20240517-0010 https://www.elastic.co/community/security • CWE-400: Uncontrolled Resource Consumption •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-23448 – APM Server Insertion of Sensitive Information into Log File
https://notcve.org/view.php?id=CVE-2024-23448
An issue was discovered whereby APM Server could log at ERROR level, a response from Elasticsearch indicating that indexing the document failed and that response would contain parts of the original document. Depending on the nature of the document that the APM Server attempted to ingest, this could lead to the insertion of sensitive or private information in the APM Server logs. Se descubrió un problema por el cual APM Server podía iniciar sesión en el nivel ERROR, una respuesta de Elasticsearch indicaba que la indexación del documento falló y que esa respuesta contendría partes del documento original. Dependiendo de la naturaleza del documento que el servidor APM intentó ingerir, esto podría dar lugar a la inserción de información confidencial o privada en los registros del servidor APM. • https://discuss.elastic.co/t/apm-server-8-12-1-security-update-esa-2024-03/352688 https://www.elastic.co/community/security • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-23447 – Elastic Network Drive Connector Improper Access Control
https://notcve.org/view.php?id=CVE-2024-23447
An issue was discovered in the Windows Network Drive Connector when using Document Level Security to assign permissions to a file, with explicit allow write and deny read. Although the document is not accessible to the user in Network Drive it is visible in search applications to the user. Se descubrió un problema en Windows Network Drive Connector al utilizar la seguridad a nivel de documento para asignar permisos a un archivo, con permiso explícito de escritura y denegación de lectura. Aunque el usuario no puede acceder al documento en Network Drive, sí lo puede ver en las aplicaciones de búsqueda. • https://discuss.elastic.co/t/elastic-network-drive-connector-8-12-1-security-update-esa-2024-02/352687 https://www.elastic.co/community/security • CWE-284: Improper Access Control •