尊敬的用戶：

ElasticSearch爆出嚴重安全漏洞(CVE-2015-1427)，該漏洞可造成遠程代碼執(zhí)行，攻擊者可直接獲取系統(tǒng)權限，危害較大，請廣大用戶注意。

漏洞危害：

攻擊者可利用該遠程任意命令執(zhí)行漏洞獲取主機最高權限

漏洞描述：

漏洞出現(xiàn)在腳本查詢模塊，默認搜索引擎支持使用腳本代碼(MVEL)作為表達式進行數(shù)據(jù)操作，MVEL會被腳本語言引擎換成Groovy，并且加入了沙盒進行控制，危險的代碼會在這里被攔截。但是安全研究人員發(fā)現(xiàn)，沙盒限制存在過濾不嚴的情況，攻擊者可以通過MVEL構造執(zhí)行任意java代碼，導致遠程代碼執(zhí)行。