TLP:CLEAR PAP:WHITE
Actualización de seguridad de Elastic Cloud Enterprise (ECE)
Descripción
Problema de denegación de servicio (DoS) de ECE (ESA-2023-09). ID CVE: CVE-2023-1370.
Se descubrió una vulnerabilidad de denegación de servicio en ECE que podría provocar que el servidor API de administración de ECE no esté disponible si se proporciona un JWT creado con fines malintencionados. Esto se debe al uso de una dependencia transitiva json-smart que analiza los arreglos anidados de manera insegura. Las implementaciones que se ejecutan en ECE no se ven afectadas.
Se descubrió una vulnerabilidad de denegación de servicio en ECE que podría provocar que el servidor API de administración de ECE no esté disponible si se proporciona un JWT creado con fines malintencionados. Esto se debe al uso de una dependencia transitiva json-smart que analiza los arreglos anidados de manera insegura. Las implementaciones que se ejecutan en ECE no se ven afectadas.
Productos afectados
Versiones ECE anteriores a la 2.13.3 y anteriores a la 3.3.0
Riesgo
Alto
Soluciones
La dependencia se ha actualizado, lo que resuelve el problema en las versiones 2.13.3 y 3.3.0
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es