1
retanoj 177 天前 1
影响是通过 _search API 传入一些特殊构造过的参数导致的 DoS
如果业务场景是有用到这 API 的话,还是升级吧 |
2
Mithril 177 天前
不想升级那就只能控制传入的请求了,比如你限定 search 请求只能由你的 app 发起,app 里不会传入由用户构造的内容。或者你是用 high level api client 直接构造的请求,那大概率是不会有问题的。
当然该升级还是要升的 |
3
mirrornighth OP @Mithril search 请求是由 app 发起的,想从代码层面规避这个问题,过滤屏蔽这些特殊查询字符,但不知道这个特殊查询字符具体是指什么:<
|
4
Mithril 176 天前
@mirrornighth
https://github.com/sqrtZeroKnowledge/Elasticsearch-Exploit-CVE-2023-31419 照着 POC 看一下就知道了。如果你限定了只能从 App 发起请求,拒接了其他地方的请求,那大概率没啥问题的。 |
5
mirrornighth OP @Mithril 这个我看了,感谢🙏
|