CVE-2019-7619
https://notcve.org/view.php?id=CVE-2019-7619
Elasticsearch versions 7.0.0-7.3.2 and 6.7.0-6.8.3 contain a username disclosure flaw was found in the API Key service. An unauthenticated attacker could send a specially crafted request and determine if a username exists in the Elasticsearch native realm. Elasticsearch versiones 7.0.0 hasta 7.3.2 y versiones 6.7.0 hasta 6.8.3, contienen un fallo de divulgación de nombre de usuario que se encontró en el servicio Key de la API. Un atacante no autenticado podría enviar una petición especialmente diseñada y determinar si un nombre de usuario existe en el reino nativo de Elasticsearch. • https://discuss.elastic.co/t/elastic-stack-6-8-4-security-update/204908 https://discuss.elastic.co/t/elastic-stack-7-4-0-security-update/201831 https://www.elastic.co/community/security • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2019-7614
https://notcve.org/view.php?id=CVE-2019-7614
A race condition flaw was found in the response headers Elasticsearch versions before 7.2.1 and 6.8.2 returns to a request. On a system with multiple users submitting requests, it could be possible for an attacker to gain access to response header containing sensitive data from another user. Se detectó un fallo de condición de carrera en los encabezados de respuesta que devuelve una petición de Elasticsearch versiones anteriores a 7.2.1 y 6.8.2. Sobre un sistema con múltiples usuarios que envían peticiones, un atacante podría conseguir acceso al encabezado de respuesta que contiene datos confidenciales de otro usuario. • https://www.elastic.co/community/security • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •