[TLP:CLEAR] Elastic opravuje 2 zraniteľnosti
Elastic opravuje 2 zraniteľnosti vo svojich produktoch [1][2]. Produkty a ich opravené verzie: Elasticsearch - 8.19.8, 9.1.8, 9.2.2 [1] Kibana - 8.19.8, 9.1.8, 9.2.2 [2]
Autentizovanému vzdialenému útočníkovi je kvôli nesprávnej implementácii autentizácie v PKI mechanizme v Elasticsearch umožnené vydávať sa za iného používateľa. Toto je možné prostredníctvom špeciálne vytvoreného klientského certifikátu podpísaného dôveryhodnou certifikačnou autoritou [1].
Zraniteľnosť sa nachádza v produkte Elasticsearch vo verziách (>=7.0.0 AND <=7.17.29) OR (>=8.0.0 AND <8.19.8) OR (>=9.0.0 AND <9.1.8) OR (>=9.2.0 AND <9.2.2).
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
Viac informácií:
- CVE-2025-37731 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-287: Improper Authentication at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 15. 12. 2025.
Autentizovanému vzdialenému útočníkovi s rolou, ktorá zahŕňa oprávnenie All v sekcii Management pre Fleet a Integrations, je kvôli nedostatočnému ošetreniu vstupov v Kibane umožnené vykonať stored XSS útok [2].
Zraniteľnosť sa nachádza v produkte Kibana vo verziách (>=7.0.0 AND <=7.17.29) OR (>=8.0.0 AND <8.19.8) OR (>=9.0.0 AND <9.1.8) OR (>=9.2.0 AND <9.2.2).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Viac informácií:
- CVE-2025-37732 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 15. 12. 2025.
Odkazy
Za CESNET-CERTS Henrieta Paločková dňa 16. 12. 2025.
