全部产品
Search
文档中心

【漏洞公告】Elasticsearch 任意文件读取漏洞

更新时间: 2018-01-15

漏洞描述

Elasticsearch 是一个基于 Lucene 的搜索服务,它提供了 RESTful web 接口的分布式、多用户全文搜索引擎 。Elasticsearch 是用 Java 开发的,并作为 Apache 许可条款下的开放源码发布,是第二大最流行的企业搜索引擎。

Elasticsearch 对代码过滤不严,导致在特定目录下可以读取任意文件。如借助特定工具,可以使用 http://localhost:9200/_plugin/head/../../../../../../../../../etc/passwd 路径访问任意文件(直接复制该路径到浏览器则访问无效)。

漏洞修复

通过官方渠道,将 Elasticsearch 更新至 1.5.2 版本或以上。