CVE-2025-37731

Опубликовано: 15 дек. 2025

Источник: nvd

CVSS3: 6.8

CVSS3: 7.4

EPSS Низкий

Описание

Improper Authentication in Elasticsearch PKI realm can lead to user impersonation via specially crafted client certificates. A malicious actor would need to have such a crafted client certificate signed by a legitimate, trusted Certificate Authority.

Ссылки

https://discuss.elastic.co/t/elasticsearch-8-19-8-9-1-8-and-9-2-2-security-update-esa-2025-27/384063
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:elastic:elasticsearch:*:*:*:*:*:*:*:*

Версия от 7.0.0 (включая) до 7.17.29 (включая)

cpe:2.3:a:elastic:elasticsearch:*:*:*:*:*:*:*:*

Версия от 8.0.0 (включая) до 8.19.8 (исключая)

cpe:2.3:a:elastic:elasticsearch:*:*:*:*:*:*:*:*

Версия от 9.0.0 (включая) до 9.1.8 (исключая)

cpe:2.3:a:elastic:elasticsearch:*:*:*:*:*:*:*:*

Версия от 9.2.0 (включая) до 9.2.2 (исключая)

EPSS

Процентиль: 9%

0.00033

Низкий

6.8 Medium

CVSS3

7.4 High

CVSS3

Дефекты

CWE-287

NVD-CWE-noinfo

Связанные уязвимости

CVE-2025-37731

CVSS3: 6.8

ubuntu

около 2 месяцев назад

CVE-2025-37731

msrc

около 2 месяцев назад

Elasticsearch Improper Authentication

CVE-2025-37731

CVSS3: 6.8

debian

около 2 месяцев назад

Improper Authentication in Elasticsearch PKI realm can lead to user im ...

GHSA-m9gh-789g-q5pv

CVSS3: 6.8

github

около 2 месяцев назад

Elasticsearch PKI Realm Authentication Bypass Vulnerability Allows User Impersonation Through Crafted Client Certificates

EPSS

Процентиль: 9%

0.00033

Низкий

6.8 Medium

CVSS3

7.4 High

CVSS3

Дефекты

CWE-287

NVD-CWE-noinfo