CVSS: 5.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-2143
https://notcve.org/view.php?id=CVE-2020-2143
Jenkins Logstash Plugin 2.3.1 and earlier transmits configured credentials in plain text as part of its global Jenkins configuration form, potentially resulting in their exposure. Jenkins Logstash Plugin versiones 2.3.1 y anteriores, transmite las credenciales configuradas en texto plano como parte de su formulario de configuración de Jenkins global, resultando potencialmente en su exposición. • http://www.openwall.com/lists/oss-security/2020/03/09/1 https://jenkins.io/security/advisory/2020-03-09/#SECURITY-1516 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-7612
https://notcve.org/view.php?id=CVE-2019-7612
A sensitive data disclosure flaw was found in the way Logstash versions before 5.6.15 and 6.6.1 logs malformed URLs. If a malformed URL is specified as part of the Logstash configuration, the credentials for the URL could be inadvertently logged as part of the error message. Se ha encontrado un error de divulgación de datos sensibles en la manera en la que las versiones de Logstash anteriores a las 5.6.15 y 6.6.1 registran URL mal formadas. Si una URL mal formada forma parte de la configuración del LogStash, las credenciales de la URL podrían ser accidentalmente registradas como parte del mensaje de error. • https://discuss.elastic.co/t/elastic-stack-6-6-1-and-5-6-15-security-update/169077 https://security.netapp.com/advisory/ntap-20190411-0002 https://www.elastic.co/community/security • CWE-209: Generation of Error Message Containing Sensitive Information CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2018-3817
https://notcve.org/view.php?id=CVE-2018-3817
When logging warnings regarding deprecated settings, Logstash before 5.6.6 and 6.x before 6.1.2 could inadvertently log sensitive information. Cuando se registran avisos sobre configuraciones obsoletas, Logstash en versiones anteriores a la 5.6.6 y 6.x anteriores a la 6.1.2 podría registrar de manera inadvertida información sensible. • https://discuss.elastic.co/t/elastic-stack-6-1-2-and-5-6-6-security-update/115763 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-1000222
https://notcve.org/view.php?id=CVE-2016-1000222
Logstash prior to version 2.1.2, the CSV output can be attacked via engineered input that will create malicious formulas in the CSV data. En la versión anterior de Logstash en su versión 2.1.2, la salida de un CSV puede ser atacada mediante una entrada ingeniada la cual puede crear formula maliciosas en los datos del CSV. • https://www.elastic.co/community/security • CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2016-1000221
https://notcve.org/view.php?id=CVE-2016-1000221
Logstash prior to version 2.3.4, Elasticsearch Output plugin would log to file HTTP authorization headers which could contain sensitive information. En la versión anterior de Logstash en su versión 2.3.4, el plugin Elasticsearch Output registraría en las cabeceras de autorización de archivos HTTP, los cuales podrían contener información sensible. • http://www.securityfocus.com/bid/99126 https://www.elastic.co/community/security • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •