Aggiornamenti per prodotti Elastic NV (AL03/251014/CSIRT-ITA)

Data:
14 Ottobre 2025

Impatto Sistemico

Alto (65.51)

Sintesi

Elastic NV rilascia aggiornamenti di sicurezza per sanare una vulnerabilità con gravità “critica”, che interessa il prodotto Elastic Cloud Enterprise (ECE). Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un utente malintenzionato con accesso amministrativo e con la funzionalità Logging+Metrics abilitata di esfiltrare informazioni sensibili e di inviare comandi tramite una stringa appositamente creata.

Tipologia

Arbitrary Code Execution
Information Leakage

Prodotti e versioni affette

Elastic Cloud Enterpprise

3.x, versioni precedenti alla 3.8.2
4.x, versioni precedenti alla 4.0.2

N.B. Si evidenzia che i prodotti elencati risultano vulnerabili solo alle condizioni descritte nel relativo bollettino di sicurezza.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.

Riferimenti

https://discuss.elastic.co/t/elastic-cloud-enterprise-ece-3-8-2-and-4-0-2-security-update-esa-2025-21/382641/1

CVE

CVE-ID
CVE-2025-37729

Change log

Versione	Note	Data
1.0	Pubblicato il 14-10-2025	14/10/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

14 Ottobre 2025, 11:44

CSIRT Toscana

CSIRT Toscana