[TLP:CLEAR] Elastic opravuje 10 zranitelností
Elastic opravuje 10 zranitelností v produktu Kibana, a to verzemi 8.19.16, 9.2.8, 9.3.5 a 9.4.2. Nejzávažnější zranitelnosti najdete popsané níže, zbylé na [1].
Autentizovanému vzdálenému útočníkovi s oprávněním pro správu konektorů je umožněno pomocí zranitelnosti SSRF a speciálně upraveného Webhook konektoru obejít kontrolu odchozích spojení definovanou v konfiguraci xpack.actions.allowedHosts a odesílat požadavky na blokované cíle [2].
Zranitelnost se nachází v produktu Kibana ve verzích (>=9.0.0 AND <=9.2.7) OR (>=9.3.0 AND <=9.3.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N
Více informací:
- CVE-2026-42398 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 28. 5. 2026.
Autentizovanému vzdálenému útočníkovi s oprávněním pro správu Fleet (fleet-all) je kvůli nedostatečné validaci vstupu umožněno neoprávněně zvýšit privilegia Elastic agentů, a tím získat přístup ke čtení a zápisu do citlivých bezpečnostních indexů Elasticsearch [3].
Zranitelnost se nachází v produktu Kibana ve verzích (>=8.0.0 AND <=8.19.15) OR (>=9.0.0 AND <=9.3.4) OR (>=9.4.0 AND <=9.4.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
Více informací:
- CVE-2026-49095 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 28. 5. 2026.
Odkazy
Za CESNET-CERTS Táňa Macháčková dne 3. 6. 2026.
