Elastic, Elastic Cloud Enterprise (ECE) için, yönetici ayrıcalıklarına sahip saldırganların rastgele komutlar yürütmesine ve hassas verileri sızdırmasına olanak tanıyan bir şablon motoru ekleme kusurunu gideren kritik bir güvenlik güncellemesi yayınladı.
CVE-2025-37729 olarak izlenen ve CVSS 9.1 (Kritik) olarak derecelendirilen sorun, ECE 2.5.0 ila 3.8.1 ve 4.0.0 ila 4.0.1 sürümlerini etkilemektedir.
Herhangi bir geçici çözüm mevcut olmadığından kullanıcıların hemen ECE 3.8.2 veya 4.0.2’ye yükseltmeleri önerilir.
Güvenlik açığı, özellikle Jinjava değişkenlerinin değerlendirildiği şablon motoru bağlamındaki özel öğelerin uygunsuz şekilde etkisiz hale getirilmesinden kaynaklanıyor.
| Alan | Detaylar |
| CVE Kimliği | CVE-2025-37729 |
| Şiddet | CVSSv3.1 9.1 (Kritik) |
| CVSS vektör | CVSS:3.1/AV:N/AC:H/UI:N/S:H/I:H/A:H/A:H |
| Etkilenen Ürünler | Elastik Bulut Kuruluşu (ECE) |
| Etkilenen Sürümler | 2.5.0–3.8.1; 4.0.0–4.0.1 |
Kimliği doğrulanmış bir ECE yöneticisi, gönderilen dağıtım planlarında değerlendirilecek yükler oluşturabilir ve kod yürütmeyi etkinleştirebilir.
Çıkış, Logging+Metrics özelliği etkinleştirildiğinde alınan günlükler aracılığıyla geri okunabilir; bu, platformu saldırganın komutları ve sızdırılan veriler için bir geri bildirim kanalına dönüştürür.
Yararlanma iki koşulu gerektirir: ECE yönetici konsoluna erişim ve Logging+Metrics’in etkin olduğu bir dağıtıma erişim.
Ayrıcalık gereksinimi yüksek olsa da CVSS vektöründe (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H) belirtilen kapsam değişikliği ve yüksek gizlilik, bütünlük ve kullanılabilirlik etkisi nedeniyle etki ciddidir.
Bu, yönetici haklarına sahip, ağ üzerinden erişilebilen bir saldırganın, yön değiştirmek, komutlar vermek ve kontrol düzlemi aracılığıyla birden fazla bileşeni potansiyel olarak etkilemek için kullanıcı etkileşimine ihtiyaç duymadığı anlamına gelir.
Elastic, müşterilere gecikmeden sabit sürümlere yükseltme yapmalarını tavsiye ediyor. Güvenlik açığı bulunan sürümler için herhangi bir azaltıcı önlem veya yapılandırmaya dayalı geçici çözüm yoktur.
Elastic, algılama için şu sorguyu kullanarak kötü amaçlı yük adlarına yönelik istek günlüklerinin izlenmesini önerir: (payload.name : int3rpr3t3r veya payload.name : forPath).
Bu dizeler, kod ekleme ve komut yürütme amacıyla Jinjava değerlendirme yolunu kötüye kullanma girişimlerini gösterebilir.
Yöneticiler ayrıca Logging+Metrics ardışık düzenlerindeki şüpheli plan gönderimleri ve beklenmeyen görev çıktıları açısından geçmiş günlükleri incelemelidir.
ECE’yi çalıştıran kuruluşlar yama uygulamaya öncelik vermeli, yönetici erişiminin kısıtlandığını ve denetlendiğini doğrulamalı ve acil yükseltmelerin operasyonel olarak mümkün olmaması durumunda yüksek riskli dağıtımlarda Logging+Metrics’i geçici olarak devre dışı bırakmalıdır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.