CVE-2025-68384：Elasticsearch资源无限制分配漏洞分析

漏洞概述

CVE-2025-68384是Elasticsearch中发现的一个中等级别安全漏洞，该漏洞源于资源分配无限制或节流机制缺失（CWE-770）。攻击者可以通过提交过大的用户设置数据，导致服务过度分配资源（CAPEC-130），进而引发持续性的拒绝服务攻击，最终使Elasticsearch因内存耗尽（OOM）而崩溃。

技术细节

漏洞机理

Elasticsearch在处理用户设置数据时，缺乏对输入数据大小的有效限制。当低权限认证用户提交异常庞大的用户设置数据时，系统会无节制地分配内存资源，直至超出系统可用内存范围，触发内存溢出错误并导致服务崩溃。

攻击向量

• 攻击途径：网络攻击（AV:N）
• 攻击复杂度：低（AC:L）
• 所需权限：低权限认证用户（PR:L）
• 用户交互：无需用户交互（UI:N）

影响范围

• 安全性影响：机密性无影响（C:N），完整性无影响（I:N），可用性影响高（A:H）
• 影响版本：
  • 7.x系列：所有版本
  • 8.x系列：8.0.0至8.19.8
  • 9.x系列：9.0.0至9.1.8，以及9.2.0至9.2.2

修复方案

已修复版本

该问题已在以下版本中得到解决：

• 8.19.9
• 9.1.9
• 9.2.3

严重性评级

根据CVSS 3.1标准，该漏洞评分为6.5（中等级别），具体向量为：CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

参考信息

• CVE标识符：CVE-2025-68384
• Elastic安全公告：ESA-2025-33
• GitHub咨询数据库：已收录并审核
• NVD发布日期：2025年12月18日
• GitHub咨询数据库发布日期：2025年12月19日

总结

CVE-2025-68384揭示了Elasticsearch在处理用户输入时资源管理机制的不足。尽管该漏洞需要攻击者具备低级别认证权限，但其简单的利用方式和高度可预测的成功率使其成为实际威胁。建议所有运行受影响版本的用户尽快升级到已修复的安全版本，以防范潜在的拒绝服务攻击风险。