Elasticsearch权限用户可通过资源过度分配引发DoS
漏洞详情
CVE编号: CVE-2025-68390
严重程度: 中等
CVSS评分: 4.9/10
受影响版本
- Maven包:
org.elasticsearch.plugin:x-pack-core - 受影响版本:
- < 8.19.8
-
= 9.0.0, < 9.1.8
-
= 9.2.0, < 9.2.2
- 已修复版本:
- 8.19.8
- 9.1.8
- 9.2.2
漏洞描述
Elasticsearch中存在"无限或未节流的资源分配"弱点(CWE-770),允许具有快照恢复权限的认证用户通过特制HTTP请求导致内存过度分配(CAPEC-130),从而引发拒绝服务(DoS)攻击。
技术细节
CVSS v3.1 基础指标
- 攻击向量: 网络(AV:N)
- 攻击复杂度: 低(AC:L)
- 所需权限: 高(PR:H)
- 用户交互: 无(UI:N)
- 影响范围: 未改变(S:U)
- 机密性影响: 无(C:N)
- 完整性影响: 无(I:N)
- 可用性影响: 高(A:H)
完整向量: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
弱点分类
- CWE-770: 无限或未节流的资源分配
- 产品在代表参与者分配可重用资源或资源组时,未对可分配资源的大小或数量施加任何预期限制。
参考链接
时间线
- NVD发布时间: 2025年12月18日
- GitHub咨询数据库发布时间: 2025年12月19日
- 最后更新时间: 2025年12月19日
安全建议
建议使用受影响版本的用户立即升级到以下修复版本:
- 升级至8.19.8
- 升级至9.1.8
- 升级至9.2.2
额外信息
- GHSA ID: GHSA-gphj-4h6p-37xq
- 源代码仓库: elastic/elasticsearch
- EPSS评分: 0.119%(第31百分位)