CVE-2015-1427: Elasticsearch Groovy Scripting Engine Sandbox 安全绕过漏洞

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2015-1427 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

N/A

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

The Groovy scripting engine in Elasticsearch before 1.3.8 and 1.4.x before 1.4.3 allows remote attackers to bypass the sandbox protection mechanism and execute arbitrary shell commands via a crafted script.

来源: 美国国家漏洞数据库 NVD

CVSS Information

N/A

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

N/A

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

Elasticsearch Groovy Scripting Engine Sandbox 安全绕过漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

Elasticsearch是荷兰Elasticsearch公司的一套基于Lucene构建的开源分布式RESTful搜索引擎，它主要用于云计算中，并支持通过HTTP使用JSON进行数据索引。 Elasticsearch 1.37及之前版本和1.4.3之前1.4.x版本的Groovy脚本引擎中存在安全漏洞。远程攻击者可借助特制的脚本利用该漏洞绕过沙箱保护机制，执行任意shell命令。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
-	n/a	n/a	-

二、漏洞 CVE-2015-1427 的公开POC

#	POC 描述	源链接	神龙链接
1	Elasticsearch 1.4.0 < 1.4.2 Remote Code Execution exploit and vulnerable container	https://github.com/t0kx/exploit-CVE-2015-1427	POC详情
2	cve-2015-1427	https://github.com/cved-sources/cve-2015-1427	POC详情
3	None	https://github.com/cyberharsh/Groovy-scripting-engine-CVE-2015-1427	POC详情
4	None	https://github.com/xpgdgit/CVE-2015-1427	POC详情
5	To test elasticsearch vulnerabillity on newer version of debian	https://github.com/Sebikea/CVE-2015-1427-for-trixie	POC详情
6	ElasticSearch before 1.3.8 and 1.4.x before 1.4.3 allows remote attackers to bypass the sandbox protection mechanism and execute arbitrary shell commands via a crafted script to the Groovy scripting engine.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2015/CVE-2015-1427.yaml	POC详情
7	None	https://github.com/Threekiii/Awesome-POC/blob/master/%E6%95%B0%E6%8D%AE%E5%BA%93%E6%BC%8F%E6%B4%9E/ElasticSearch%20Groovy%20%E6%B2%99%E7%9B%92%E7%BB%95%E8%BF%87%20&%20%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%20CVE-2015-1427.md	POC详情
8	None	https://github.com/chaitin/xray-plugins/blob/main/poc/manual/elasticsearch-cve-2015-1427.yml	POC详情
9		https://github.com/vulhub/vulhub/blob/master/elasticsearch/CVE-2015-1427/README.md	POC详情

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2015-1427 的情报信息

Please 登录 to view more intelligence information

http://www.elasticsearch.com/blog/elasticsearch-1-4-3-1-3-8-released/x_refsource_CONFIRM
http://packetstormsecurity.com/files/130368/Elasticsearch-1.3.7-1.4.2-Sandbox-Escape-Command-Execution.htmlx_refsource_MISC
https://www.elastic.co/community/security/x_refsource_CONFIRM
http://www.securityfocus.com/bid/72585vdb-entryx_refsource_BID
https://access.redhat.com/errata/RHSA-2017:0868vendor-advisoryx_refsource_REDHAT
https://exchange.xforce.ibmcloud.com/vulnerabilities/100850vdb-entryx_refsource_XF
http://www.securityfocus.com/archive/1/534689/100/0/threadedmailing-listx_refsource_BUGTRAQ
https://nvd.nist.gov/vuln/detail/CVE-2015-1427

IV. Related Vulnerabilities

Same product: n/a

Same vendor: n/a

V. Comments for CVE-2015-1427

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2015-1427 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2015-1427 的公开POC

三、漏洞 CVE-2015-1427 的情报信息

IV. Related Vulnerabilities

V. Comments for CVE-2015-1427

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

一、 漏洞 CVE-2015-1427 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2015-1427 的公开POC

三、漏洞 CVE-2015-1427 的情报信息

IV. Related Vulnerabilities

V. Comments for CVE-2015-1427

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2015-1427 基础信息