Atteinte à la confidentialité des données : de multiples vulnérabilités découvertes dans les produits Elastic

De multiples vulnérabilités ont été découvertes dans les produits Elastic. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données, une injection de code indirecte à distance (XSS) et un contournement de la politique de sécurité.

Risques

• Atteinte à la confidentialité des données
• Contournement de la politique de sécurité
• Injection de code indirecte à distance (XSS)

Systèmes affectés

• Elasticsearch versions 8.19.x antérieures à 8.19.5
• Elasticsearch versions 9.0.x antérieures à 9.0.8
• Elasticsearch versions 9.1.x antérieures à 9.1.5
• Elasticsearch versions antérieures à 8.18.8
• Kibana – Crowdstrike Connector versions 8.19.x antérieures à 8.19.5
• Kibana – Crowdstrike Connector versions 9.0.x antérieures à 9.0.8
• Kibana – Crowdstrike Connector versions 9.1.x antérieures à 9.1.5
• Kibana – Crowdstrike Connector versions antérieures à 8.18.8
• Kibana versions 8.19.x antérieures à 8.19.5
• Kibana versions 9.0.x antérieures à 9.0.8
• Kibana versions 9.1.x antérieures à 9.1.5
• Kibana versions antérieures à 8.18.8

Solutions

• Mettre à jour les systèmes affectés vers les nouvelles versions

Source : CERT-FR