CERTFR-2025-AVI-0298_Multiples vulnérabilités dans les produits Elastic
AVIS CERT
CERT-FR
Publié le 9 avril 2025 à 15h08
Objet
Multiples vulnérabilités dans les produits Elastic
Référence
CERTFR-2025-AVI-0298
Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
Systèmes affectés
- Kibana versions 8.17.x antérieures à 8.17.2
- Logstash versions antérieures à 8.15.3
- Elastic Defend versions antérieures à 8.17.3
- Kibana versions 8.16.x antérieures à 8.16.4
- Kibana versions 7.17.x antérieures à 7.17.23
- Kibana versions 8.15.x antérieures à 8.15.1
- Elasticsearch versions 8.15.x antérieures à 8.15.1
- Elasticsearch versions 7.17.x antérieures à 7.17.24
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Elastic. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Documentation
- Bulletin de sécurité Elastic ESA-2024-37
- Bulletin de sécurité Elastic ESA-2025-02
- Bulletin de sécurité Elastic ESA-2024-35
- Bulletin de sécurité Elastic ESA-2024-34
- Bulletin de sécurité Elastic ESA-2025-05
- Bulletin de sécurité Elastic ESA-2024-48
- Bulletin de sécurité Elastic ESA-2024-36
- CVE-2024-12556
- CVE-2024-43380
- CVE-2024-52980
- CVE-2025-25013
- CVE-2024-52974
- CVE-2024-52981
- CVE-2024-49761