Elasticは、Elastic Cloud Enterprise(ECE)において不適切な認可(Improper Authorization)が原因で、組み込みの「readonly」ユーザーが本来許可されないAPIを実行でき、権限昇格に至る脆弱性(CVE-2025-37736、CVSS 8.8/High)を公表し、ECE 3.8.3 および 4.0.3で修正しました。影響はすべてのECEユーザーに及ぶとされ、オンプレミスやハイブリッド構成の管理面に広く影響する可能性があります。
影響範囲(バージョン)
-
3.8.0以降かつ 3.8.2 まで
-
4.0.0以降かつ 4.0.2 まで
上記の範囲に該当するECE環境では、readonlyユーザーが特定の管理系APIを呼び出せる不整合が存在し、ユーザー・サービスアカウント・APIキーの操作といった管理権限レベルの操作が実行できてしまいます。
対策バージョン
直ちに ECE 3.8.3 または 4.0.3へ更新してください。これが恒久対策です。
技術的な要点
問題は、ユーザー/サービスアカウント管理に関わるAPI群の認可チェックが不十分だったことに起因します。アドバイザリでは、以下のエンドポイントが影響を受ける例として列挙されています(抜粋、HTTPメソッドとパスはそのまま記載)。
-
post:/platform/configuration/security/service-accounts -
delete:/platform/configuration/security/service-accounts/{user_id} -
patch:/platform/configuration/security/service-accounts/{user_id} -
post:/platform/configuration/security/service-accounts/{user_id}/keys -
delete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id} -
patch:/user -
post:/users -
post:/users/auth/keys -
delete:/users/auth/keys -
delete:/users/auth/keys/_all -
delete:/users/auth/keys/{api_key_id} -
delete:/users/{user_id}/auth/keys -
delete:/users/{user_id}/auth/keys/{api_key_id} -
delete:/users/{user_name} -
patch:/users/{user_name}
本来、これらは管理権限を要する操作ですが、readonlyユーザー(およびそれに結び付くAPIキー)でも呼び出しが可能となる場合があり、ユーザーの作成・変更・削除、APIキーの投入、サービスアカウントの操作などを通じて実質的な管理者権限の奪取に至る恐れがあります。
関連記事
AWSとGoogle CloudのCLIツールで情報漏洩の脆弱性 LeakyCLIが発生
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
Oracle E-Business Suiteの脆弱性 CVE-2025-61884がKEV入り-事前認証RCEチェーンのCVE-2025-61882も要注意
FortiWebのFabric Connectorに重大なSQLインジェクション脆弱性、POC公開とRCE成功の技術検証(CVE-2025-25257)
ワシントン・ポストの記者 メールアカウントへ不正アクセスか?標的型攻撃の可能性
特権IDは王国の鍵-Googleが特権アカウント監視ガイドを公表
バイブコーディング プラットフォーム Base44に認証回避の重大な脆弱性
Jira、パストラバーサル(任意ファイル書き込み)の脆弱性を修正(CVE-2025-22167)
Elastic、Kibana/Elasticsearchの複数脆弱性を修正(CVE-2025-25009)
