製品・ソフトウェアに関する情報

JVN脆弱性詳細

Elasticsearch B.V.のelastic cloud enterpriseにおける認可に関する脆弱性

Title	Elasticsearch B.V.のelastic cloud enterpriseにおける認可に関する脆弱性
Summary	特定の条件下で、特定の権限を持って作成されたAPIキーが、その後、権限を昇格させた新しいAPIキーを作成するために使用される可能性があることが確認されました。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 28, 2024, midnight
Registration Date	Feb. 2, 2026, 7:27 p.m.
Last Update	Feb. 2, 2026, 7:27 p.m.

Affected System

Elasticsearch B.V.

elastic cloud enterprise 3.0.0 以上 3.7.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-37282	https://www.cve.org/CVERecord?id=CVE-2024-37282
National Vulnerability Database (NVD)
2	CVE-2024-37282	https://nvd.nist.gov/vuln/detail/CVE-2024-37282

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-285	https://cwe.mitre.org/data/definitions/285.html

ベンダー情報

No	Name	URL
Topics
1	Elastic Cloud Enterprise 3.7.2 Security Update (ESA-2024-18) - Announcements / Security Announcements - Discuss the Elastic Stack	https://discuss.elastic.co/t/elastic-cloud-enterprise-3-7-2-security-update-esa-2024-18/362181

Change Log

No	Changed Details	Date of change
1	[2026年02月02日] 掲載	Feb. 2, 2026, 7:27 p.m.

NVD Vulnerability Information

CVE-2024-37282

Summary	It was identified that under certain specific preconditions, an API key that was originally created with a specific privileges could be subsequently used to create new API keys that have elevated privileges.
Publication Date	June 28, 2024, 2:15 p.m.
Registration Date	June 28, 2024, 8 p.m.
Last Update	Nov. 21, 2024, 6:23 p.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://discuss.elastic.co/t/elastic-cloud-enterprise-3-7-2-security-update-esa-2024-18/362181
2	https://discuss.elastic.co/t/elastic-cloud-enterprise-3-7-2-security-update-esa-2024-18/362181

Common Vulnerabilities List