مجاز نبودن مجوزها در Elastic Cloud Enterprise میتواند منجر به افزایش امتیازات شود، به طوری که کاربر پیشفرض با سطح دسترسی فقط خواندنی میتواند APIهایی را فراخوانی کند که نباید به آنها دسترسی داشته باشد. فهرست APIهایی که تحت تأثیر این مشکل قرار دارند به شرح زیر است:
- post:/platform/configuration/security/service-accounts
- delete:/platform/configuration/security/service-accounts/{user_id}
- patch:/platform/configuration/security/service-accounts/{user_id}
- post:/platform/configuration/security/service-accounts/{user_id}/keys
- delete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}
- patch:/user
- post:/users
- post:/users/auth/keys
- delete:/users/auth/keys
- delete:/users/auth/keys/_all
- delete:/users/auth/keys/{api_key_id}
- delete:/users/{user_id}/auth/keys
- delete:/users/{user_id}/auth/keys/{api_key_id}
- delete:/users/{user_name}
- patch:/users/{user_name}
محصولات آسیبپذیر
تمامی نسخههای 3.8.0 تا 3.8.2 و 4.0.0 تا 4.0.2
توصیههای امنیتی
به کاربران توصیه میشود درصورت استفاده از این ابزار، آن را به نسخههای ۳.۸.۳ و ۴.۰.۳ به روزرسانی نمایند. علاوه بر به روزرسانی، کاربران Elastic Cloud Enterprise باید بررسی کنند که آیا کاربر یا حسابهای سرویس توسط کاربر با دسترسی فقط خواندنی ایجاد شدهاند یا خیر و در صورت لزوم آنها را حذف کنند.
منبع خبر
- 21