https://blog.qife122.com/tags/cve-2025-68390/ Recent content in CVE-2025-68390 on 办公AI智能小助手 Hugo zh-cn qife Tue, 30 Dec 2025 13:30:33 +0800 https://blog.qife122.com/p/elasticsearch%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E9%80%9A%E8%BF%87%E8%B5%84%E6%BA%90%E8%BF%87%E5%BA%A6%E5%88%86%E9%85%8D%E5%BC%95%E5%8F%91dos%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ Tue, 30 Dec 2025 13:30:33 +0800 https://blog.qife122.com/p/elasticsearch%E6%9D%83%E9%99%90%E7%94%A8%E6%88%B7%E5%8F%AF%E9%80%9A%E8%BF%87%E8%B5%84%E6%BA%90%E8%BF%87%E5%BA%A6%E5%88%86%E9%85%8D%E5%BC%95%E5%8F%91dos%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90/ <h1 id="elasticsearch权限用户可通过资源过度分配引发dos">Elasticsearch权限用户可通过资源过度分配引发DoS</h1> <h2 id="漏洞详情">漏洞详情</h2> <p><strong>CVE编号</strong>: CVE-2025-68390<br> <strong>严重程度</strong>: 中等<br> <strong>CVSS评分</strong>: 4.9/10</p> <h3 id="受影响版本">受影响版本</h3> <ul> <li><strong>Maven包</strong>: <code>org.elasticsearch.plugin:x-pack-core</code></li> <li><strong>受影响版本</strong>: <ul> <li>&lt; 8.19.8</li> <li> <blockquote> <p>= 9.0.0, &lt; 9.1.8</p> </blockquote> </li> <li> <blockquote> <p>= 9.2.0, &lt; 9.2.2</p> </blockquote> </li> </ul> </li> <li><strong>已修复版本</strong>: <ul> <li>8.19.8</li> <li>9.1.8</li> <li>9.2.2</li> </ul> </li> </ul> <h3 id="漏洞描述">漏洞描述</h3> <p>Elasticsearch中存在&quot;无限或未节流的资源分配&quot;弱点（CWE-770），允许具有快照恢复权限的认证用户通过特制HTTP请求导致<strong>内存过度分配</strong>（CAPEC-130），从而引发<strong>拒绝服务</strong>（DoS）攻击。</p>