尊敬的用戶：

ElasticSearch爆出嚴(yán)重安全漏洞(CVE-2015-1427)，該漏洞可造成遠(yuǎn)程代碼執(zhí)行，攻擊者可直接獲取系統(tǒng)權(quán)限，危害較大，請(qǐng)廣大用戶注意。

漏洞危害：

攻擊者可利用該遠(yuǎn)程任意命令執(zhí)行漏洞獲取主機(jī)最高權(quán)限

漏洞描述：

漏洞出現(xiàn)在腳本查詢模塊，默認(rèn)搜索引擎支持使用腳本代碼(MVEL)作為表達(dá)式進(jìn)行數(shù)據(jù)操作，MVEL會(huì)被腳本語(yǔ)言引擎換成Groovy，并且加入了沙盒進(jìn)行控制，危險(xiǎn)的代碼會(huì)在這里被攔截。但是安全研究人員發(fā)現(xiàn)，沙盒限制存在過(guò)濾不嚴(yán)的情況，攻擊者可以通過(guò)MVEL構(gòu)造執(zhí)行任意java代碼，導(dǎo)致遠(yuǎn)程代碼執(zhí)行。