CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-23707
https://notcve.org/view.php?id=CVE-2022-23707
An XSS vulnerability was found in Kibana index patterns. Using this vulnerability, an authenticated user with permissions to create index patterns can inject malicious javascript into the index pattern which could execute against other users Se encontró una vulnerabilidad de tipo XSS en los patrones de índice de Kibana. Usando esta vulnerabilidad, un usuario autenticado con permisos para crear patrones de índice puede inyectar javascript malicioso en el patrón de índice que podría ejecutarse contra otros usuarios • https://discuss.elastic.co/t/kibana-7-17-0-security-update/296215 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.0EPSS: 0%CPEs: 1EXPL: 0CVE-2021-37939
https://notcve.org/view.php?id=CVE-2021-37939
It was discovered that Kibana’s JIRA connector & IBM Resilient connector could be used to return HTTP response data on internal hosts, which may be intentionally hidden from public view. Using this vulnerability, a malicious user with the ability to create connectors, could utilize these connectors to view limited HTTP response data on hosts accessible to the cluster. Se ha detectado que el conector JIRA de Kibana y el conector Resilient de IBM pueden ser usados para devolver datos de respuesta HTTP en hosts internos, que pueden estar intencionadamente ocultos a la vista del público. Usando esta vulnerabilidad, un usuario malicioso con la capacidad de crear conectores, podría usar estos conectores para ver datos de respuesta HTTP limitados en hosts accesibles al cluster. • https://discuss.elastic.co/t/kibana-7-15-2-security-update/288923 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-22139
https://notcve.org/view.php?id=CVE-2021-22139
Kibana versions before 7.12.1 contain a denial of service vulnerability was found in the webhook actions due to a lack of timeout or a limit on the request size. An attacker with permissions to create webhook actions could drain the Kibana host connection pool, making Kibana unavailable for all other users. Kibana versiones anteriores a 7.12.1, contienen una vulnerabilidad de denegación de servicio que se encontró en las acciones de webhook debido a una falta de tiempo de espera o un límite en el tamaño de la petición. Un atacante con permisos para crear acciones de webhook podría agotar el grupo de conexiones de host de Kibana, haciendo que Kibana no esté disponible para todos los demás usuarios • https://discuss.elastic.co/t/7-12-1-security-update/271433 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 3.6EPSS: 0%CPEs: 2EXPL: 0CVE-2021-22136
https://notcve.org/view.php?id=CVE-2021-22136
In Kibana versions before 7.12.0 and 6.8.15 a flaw in the session timeout was discovered where the xpack.security.session.idleTimeout setting is not being respected. This was caused by background polling activities unintentionally extending authenticated users sessions, preventing a user session from timing out. En Kibana versiones anteriores a 7.12.0 y 6.8.15, se detectó un fallo en el timeout de la sesión donde la configuración xpack.security.session.idleTimeout no está siendo respetada. Esto fue causado por actividades de sondeo en segundo plano que extendieron involuntariamente las sesiones de los usuarios autenticados, impidiendo que se agotara el timeout de una sesión de usuario • https://discuss.elastic.co/t/elastic-stack-7-12-0-and-6-8-15-security-update/268125 • CWE-613: Insufficient Session Expiration •
CVSS: 4.8EPSS: 0%CPEs: 5EXPL: 0CVE-2020-7016
https://notcve.org/view.php?id=CVE-2020-7016
Kibana versions before 6.8.11 and 7.8.1 contain a denial of service (DoS) flaw in Timelion. An attacker can construct a URL that when viewed by a Kibana user can lead to the Kibana process consuming large amounts of CPU and becoming unresponsive. En Kibana versiones anteriores a 6.8.11 y 7.8.1, contiene un fallo de denegación de servicio (DoS) en Timelion. Un atacante puede construir una URL que, cuando es visualizada por un usuario de Kibana, puede conllevar al proceso de Kibana a consumir grandes cantidades de CPU y dejar de responder • https://discuss.elastic.co/t/elastic-stack-6-8-11-and-7-8-1-security-update/242786 https://www.elastic.co/community/security https://www.oracle.com//security-alerts/cpujul2021.html • CWE-185: Incorrect Regular Expression CWE-400: Uncontrolled Resource Consumption •