CVE-2025-37729

چکیده

آسیب‌پذیری بحرانی در Elastic Cloud Enterprise (ECE) نسخه‌های 2.5.0 تا 3.8.1 و 4.0.0 تا 4.0.1 ناشی از خنثی سازی نادرست المنت های خاص در موتور تمپلیت Jinjava است. مهاجم با دسترسی ادمین می‌تواند با تزریق پیلودهای مخرب در پلان های ویژه، متغیرهای Jinjava را اجرا کرده و منجر به افشای اطلاعات حساس یا اجرای دستورات دلخواه شود.

توضیحات

آسیب‌پذیری CVE-2025-37729 در Elastic Cloud Enterprise (ECE) ناشی از خنثی سازی نادرست المنت های خاص در موتور تمپلیت Jinjava (موتور تمپلیت جاوا مبتنی بر Jinja2، برای پردازش محتوای پویا در ECE) مطابق با CWE-1336 است. مهاجم با دسترسی ادمین می‌تواند از طریق کنسول مدیریتی ECE فایل‌های پیکربندیِ پلان (فایل‌های JSON برای پیکربندی استقرار) را با پیلود مخرب تغییر دهد؛ وقتی این پلان‌ها توسط موتور تمپلیت Jinjava پردازش می‌شوند، پیلودها اجرا شده و خروجی‌ آن در لاگ‌ها ثبت می‌گردد. با خواندن آن لاگ‌ها مهاجم می‌تواند اطلاعات حساس را استخراج کرده یا اجرای دستورات دلخواه را ممکن سازد.

این ضعف فقط در سناریوهایی قابل بهره‌برداری است که مهاجم دسترسی ادمین به کنسول ECE داشته باشد و نمونه یا استقرار هدف (deployment)، ویژگی لاگ‌گیری و متریک (Logging+Metrics) را فعال کرده باشد. در این شرایط مهاجم می‌تواند با ارسال یک پلان (فایل پیکربندی) حاوی پیلود مخرب، کد را تزریق نموده و نتایج را از طریق لاگ‌ها بازیابی کند. بهره‌برداری از این ضعف با اسکریپت یا ابزارهای خودکار قابل انجام است و پیامدهای آن شامل نقض محرمانگی با افشای اطلاعات محرمانه، یکپارچگی با اجرای دستورات مخرب و در دسترس‌پذیری با ایجاد کرش سرویس های ECE است.

شرکت Elastic این ضعف را با به‌روزرسانی موتور تمپلیت در نسخه‌های 3.8.2 و 4.0.2 پچ کرده است؛ به‌روزرسانی فوریِ ECE به این نسخه‌ها ضروری است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Elastic Cloud Enterprise را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در Elastic Cloud Enterprise، امکان تزریق پیلود توسط ادمین مخرب را فراهم می کند و می‌تواند منجر به اجرای دستورات دلخواه و افشای داده های حساس شود. با توجه به انتشار پچ‌های امنیتی، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

• به‌روزرسانی فوری: تمام نصب‌های ECE را به نسخه‌های 3.8.2 یا 4.0.2 (بسته به شاخه) به روزرسانی کنید.
• مدیریت دسترسی‌ها: از اصل حداقل دسترسی (least privilege) پیروی کنید و دسترسی ادمین به کنسول مدیریتی را با کنترل دسترسی مبتنی بر نقش(RBAC) محدود سازید؛ کاربران غیرضروری را از استقرارهای دارای قابلیت لاگ‌گیری و متریک (Logging+Metrics) حذف کنید.
• نظارت و لاگ‌گیری: لاگ های درخواست را با کوئری های شاخص نفوذ (IOC) در Elasticsearch مانیتور کنید و هشدارهای بلادرنگ با ابزارهایی مانند Kibana یا Elastic Security تنظیم نمایید تا از تزریق‌های مشکوک جلوگیری شود.
• ایزوله‌سازی: محیط استقرار را در یک شبکه خصوصی مجازی (VPC) ایزوله کنید و کنسول مدیریتی را پشت VPN یا فایروال اپلیکیشن وب (WAF) قرار دهید تا دسترسی مدیریتی محدود و امن شود.
• تست امنیتی: پلان های استقرار را با ابزارهایی نظیر OWASP ZAP یا Burp Suite اسکن کنید و تست‌های نفوذ برای تزریق تمپلیت در Jinjava اجرا نمایید.
• آموزش: تیم‌های توسعه و عملیات (DevOps) را نسبت به ریسک تزریق در موتور تمپلیت و ضرورت بررسی پلان‌های JSON آموزش دهید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و محدودسازی دسترسی‌های ادمین همراه با نظارت IOC، ریسک بهره‌برداری داخلی را به‌طور چشمگیر کاهش می‌دهد و امنیت و پایداریِ ECE را بهبود می‌بخشد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)
ورود اولیه مستند و تأییدشده برای این آسیب‌پذیری از طریق حساب ادمینِ معتبر در کنسول ECE است؛ حمله‌گر باید دسترسی مدیریتی به رابط مدیریت داشته باشد تا پلانِ استقرار حاوی payloadهای Jinjava را بارگذاری یا ویرایش کند که سپس در زمان پردازش توسط موتور تمپلیت ارزیابی می‌شوند

Execution (TA0002)
بهره‌برداری فنی با Server-Side Template Injection (SSTI) در موتور Jinjava انجام می‌شود؛ وقتی پلان‌های JSONِ حاوی عبارات Jinjava توسط ECE پردازش شوند، آن عبارات ارزیابی شده و مهاجم می‌تواند اطلاعات را استخراج یا عبارات/دستورات دلخواه را اجرا کند

Exfiltration (TA0010)
یکی از نتایج اثبات‌شده این نقص، افشای اطلاعات حساس از طریق لاگ‌ها یا خروجی‌های پردازش‌شده است؛ مهاجمِ دارای دسترسی ادمین می‌تواند با تزریق عبارات Jinjava خروجی‌هایی تولید کند که در لاگ‌ها یا متریک‌ها ثبت می‌شوند و سپس آن داده‌ها را بیرون بخواند یا استخراج کند

Persistence (TA0003)
مهاجمِ دارای حق‌مدیریت در کنسول ECE توانایی تزریق پلان با payload را دارد و می تواند برای حفظ دسترسی پس از exploitation تلاش کند

Defense Evasion (TA0005)
با دسترسی ادمینِ اجرایی، مهاجم می‌تواند لاگ‌ها را پاک یا خروجی‌های لاگ‌شده را دستکاری کند تا شواهد تزریق و اجرای template پنهان بماند یا قواعد detection را دور بزند.

Discovery (TA0007)
مهاجم پس از موفقیت به‌سرعت محیط را بررسی می‌کند که چه deployments فعال‌اند، چه داده‌هایی لاگ می‌شوند، چه متریک‌هایی حساس‌اند و کجا می‌توان داده استخراج‌شده را خواند.

Credential Access (TA0006)
با توانایی اجرای عبارت‌های template و خواندن خروجی لاگ‌ها یا فایل‌های پیکربندی، مهاجم می‌تواند secretها، توکن‌ها یا credentialهای ذخیره‌شده در پلان‌ها یا محیط استقرار را کشف کند.

Impact (TA0040)
پیامدهای رسمی و تأییدشده شامل Confidentiality (افشای داده‌های حساس) Integrity، (اجرای عبارات/دستورات دلخواه و تغییر پیکربندی‌ها) وAvailability (اختلال یا کرش سرویس‌ها) است

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-37729
2. https://www.cvedetails.com/cve/CVE-2025-37729/
3. https://discuss.elastic.co/t/elastic-cloud-enterprise-ece-3-8-2-and-4-0-2-security-update-esa-2025-21/382641
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-37729
5. https://vuldb.com/?id.328122
6. https://nvd.nist.gov/vuln/detail/CVE-2025-37729
7. https://cwe.mitre.org/data/definitions/1336.html