versions ElasticSearch avant 6.8.13 et 7.9.2 contiennent une divulgation document de défaut lorsqu’il est utilisé de document ou au niveau du champ de sécurité. Les requêtes de recherche ne conservent pas correctement les autorisations de sécurité lors de l’exécution de certaines requêtes complexes. Cela pourrait donner lieu à la recherche de divulguer l’existence de documents que l’attaquant ne devrait pas être en mesure de voir. Cela pourrait se traduire par un attaquant supplémentaire en obtenir un aperçu des indices potentiellement sensibles.
https://security.netapp.com/advisory/ntap-20201123-0001/
https://discuss.elastic.co/t/elastic-stack-7-9-3-and-6-8-13-security-update/253033
https://discuss.elastic.co/t/elastic-stack-7-9-3-and-6-8-13-security-update/253033
https://staging-website.elastic.co/community/security/
https://staging-website.elastic.co/community/security/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7020