Falha no Elastic Cloud Enterprise permite que invasores executem comandos maliciosos – Against Invaders – Notícias de CyberSecurity para humanos.

A Elastic lançou uma atualização de segurança crítica para o Elastic Cloud Enterprise (ECE) abordando uma falha de injeção de mecanismo de modelo que poderia permitir que invasores com privilégios de administrador executassem comandos arbitrários e exfiltrar dados confidenciais.

Rastreado como CVE-2025-37729 e classificado como CVSS 9.1 (Crítico), o problema afeta as versões ECE 2.5.0 a 3.8.1 e 4.0.0 a 4.0.1.

Os usuários são incentivados a atualizar imediatamente para ECE 3.8.2 ou 4.0.2, pois não há soluções alternativas disponíveis.

A vulnerabilidade decorre da neutralização inadequada de elementos especiais em um contexto de mecanismo de modelo, especificamente onde as variáveis ​​Jinjava são avaliadas.

Campo Detalhes
ID do CVE CVE-2025-37729
Gravidade CVSSv3.1 9.1 (crítico)
Vetor CVSS CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Produtos afetados Elastic Cloud Enterprise (ECE)
Versões afetadas 2.5.0–3.8.1; 4.0.0–4.0.1

Um administrador ECE autenticado pode criar cargas em planos de implantação enviados que são avaliados, permitindo execução de código.

A saída pode ser lida por meio de logs ingeridos quando o recurso Logging+Metrics está habilitado, o que transforma a plataforma em um canal de feedback para os comandos do invasor e dados exfiltrados.

A exploração requer duas condições: acesso ao console de administração do ECE e acesso a uma implantação com Logging+Metrics habilitado.

Embora o requisito de privilégio seja alto, o impacto é severo devido à mudança de escopo e ao alto impacto de confidencialidade, integridade e disponibilidade observado no vetor CVSS (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H).

Isso significa que um invasor acessível pela rede com direitos de administrador não precisa da interação do usuário para dinamizar, emitir comandos e potencialmente impactar vários componentes por meio do plano de controle.

Elástico aconselha os clientes a atualizarem para as versões fixas sem demora. Não há mitigações ou soluções alternativas baseadas em configuração para versões vulneráveis.

Para detecção, a Elastic recomenda monitorar logs de solicitação de nomes de cargas mal-intencionadas usando a consulta: (payload.name: int3rpr3t3r ou payload.name: forPath).

Essas strings podem indicar tentativas de abuso do caminho de avaliação do Jinjava para injeção de código e execução de comandos.

Os administradores também devem revisar logs anteriores em busca de envios de planos suspeitos e saídas de tarefas inesperadas em pipelines de Logging+Metrics.

As organizações que operam o ECE devem priorizar a aplicação de patches, validar se o acesso do administrador é restrito e auditado e desativar temporariamente o Logging+Metrics em implantações de alto risco se atualizações imediatas não forem possíveis operacionalmente.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.