漏洞标题
N/A
漏洞描述信息
弹性应用程序搜索版本在7.11.0之后和7.12.0之前包含应用程序搜索网络爬虫 beta 功能中的 XML 外部实体注入问题(XXE)。利用此向量,攻击者可以通过构建恶意的sitemap.xml,绕过运行实例的主机的文件系统,获取敏感文件。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Elastic App Search versions after 7.11.0 and before 7.12.0 contain an XML External Entity Injection issue (XXE) in the App Search web crawler beta feature. Using this vector, an attacker whose website is being crawled by App Search could craft a malicious sitemap.xml to traverse the filesystem of the host running the instance and obtain sensitive files.
CVSS信息
N/A
漏洞类别
XML外部实体引用的不恰当限制(XXE)
漏洞标题
Elastic App Search web crawler 代码问题漏洞
漏洞描述信息
Elastic App Search web crawler是美国Elastic公司的一个应用软件。提供了更大的可扩展性和性能增强。 App Search web crawler 存在代码问题漏洞,该漏洞源于企业搜索中没有充分验证用户提供的XML输入。以下产品及版本受到影响:App Search web crawler: before 7.12.1 。
CVSS信息
N/A
漏洞类别
代码问题