漏洞标题
N/A
漏洞描述信息
Elasticsearch安全版本6.4.0至6.4.2在在使用Active Directory、LDAP、Native或文件域时,对请求进行身份验证时存在错误。如果同时验证相同的用户名,则请求可能会收到用于另一个请求的元数据;当使用run as时,这可能导致请求运行为错误的用户。这可能导致用户访问他们不应该访问的信息。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Elasticsearch Security versions 6.4.0 to 6.4.2 contain an error in the way request headers are applied to requests when using the Active Directory, LDAP, Native, or File realms. A request may receive headers intended for another request if the same username is being authenticated concurrently; when used with run as, this can result in the request running as the incorrect user. This could allow a user to access information that they should not have access to.
CVSS信息
N/A
漏洞类别
使用共享资源的并发执行不恰当同步问题(竞争条件)
漏洞标题
Elasticsearch Security 安全漏洞
漏洞描述信息
Elasticsearch是荷兰Elasticsearch公司的一套基于Lucene构建的开源分布式RESTful搜索引擎,它主要用于云计算中,并支持通过HTTP使用JSON进行数据索引。Security是其中的一个数据保护组件。 Elasticsearch Security 6.4.0版本至6.4.2版本中存在安全漏洞。攻击者可利用该漏洞访问本应无法访问的信息。
CVSS信息
N/A
漏洞类别
信息泄露