Sintesi

Elastic NV rilascia aggiornamenti di sicurezza per sanare una vulnerabilità con gravità “alta” che interessa il prodotto Elastic Cloud Enterprise. Tale vulnerabilità interessa le modalità di creazione delle API Key le quali, in determinate condizioni, permetterebbero la generazione arbitraria di nuove chiavi con privilegi elevati sulle istanze interessate.

Tipologia

• Privilege Escalation

Prodotti e versioni affette

Elastic Cloud Enterprise 3.x, versioni precedenti alla 3.7.2

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nei bollettini di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-37282

Riferimenti

https://discuss.elastic.co/t/elastic-cloud-enterprise-3-7-2-security-update-esa-2024-18/362181

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.