尊敬的用户：

ElasticSearch爆出严重安全漏洞(CVE-2015-1427)，该漏洞可造成远程代码执行，攻击者可直接获取系统权限，危害较大，请广大用户注意。

漏洞危害：

攻击者可利用该远程任意命令执行漏洞获取主机最高权限

漏洞描述：

漏洞出现在脚本查询模块，默认搜索引擎支持使用脚本代码(MVEL)作为表达式进行数据操作，MVEL会被脚本语言引擎换成Groovy，并且加入了沙盒进行控制，危险的代码会在这里被拦截。但是安全研究人员发现，沙盒限制存在过滤不严的情况，攻击者可以通过MVEL构造执行任意java代码，导致远程代码执行。

(责任编辑：冬天的宇)