CVE-2025-37736

ALT (8,8)

CVSS3: 0,0

Una autorització incorrecta a Elastic Cloud Enterprise pot provocar una escalada de privilegis on l’usuari de només lectura integrat pot cridar API que no haurien d’estar permeses. La llista d’API afectades per aquest problema és:

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• Elastic Elastic Cloud Enterprise (ECE) 3.8.0
• Elastic Elastic Cloud Enterprise (ECE) 4.0.0

Remediació
No hi ha cap recurs disponible a partir del 8 de novembre del 2025.

Referències

• https://discuss.elastic.co/t/elastic-cloud-enterprise-ece-3-8-3-and-4-0-3-security-update-esa-2025-22/383132
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/37xxx/CVE-2025-37736.json