28 мая 2026 года компания Elastic выпустила серию бюллетеней безопасности, в которых описала сразу десять уязвимостей в своей платформе визуализации данных Kibana. Проблемы затронули все поддерживаемые версии продукта - от 8.x до 9.4.x. Самые опасные из них позволяют злоумышленнику повысить свои привилегии в системе или обойти сетевые ограничения. Разработчики уже выпустили исправления в версиях 8.19.16, 9.3.5 и 9.4.2.
Дктали уязвимостей
Для тех, кто использует Kibana для мониторинга инфраструктуры и анализа событий информационной безопасности, эта новость имеет критическое значение. Платформа Kibana является одним из ключевых элементов стека Elastic. Она обрабатывает миллионы записей из Elasticsearch и часто имеет доступ к чувствительным данным. Поэтому любая брешь в её защите может привести к утечкам или нарушению работы целых сервисов.
Среди обнаруженных уязвимостей выделяются две категории с высоким уровнем опасности - 7,7 и 7,2 балла по шкале CVSS. Первая из них (CVE-2026-42398) относится к типу SSRF (подделка запросов на стороне сервера). Она позволяет аутентифицированному пользователю с правами на управление соединителями обойти заданный администратором список разрешённых хостов. Атакующий может настроить вебхук-соединитель таким образом, чтобы Kibana отправляла исходящие запросы на те адреса, которые администратор хотел заблокировать. В результате злоумышленник получает возможность сканировать внутреннюю сеть или извлекать данные из недоступных ранее систем. Эта уязвимость затрагивает версии 9.x вплоть до 9.2.7 и 9.3.1. Позднее была найдена ещё одна похожая брешь (CVE-2026-49093) с рейтингом 6,3 балла, которая требовала более сложных условий эксплуатации.
Вторая высокоопасная проблема (CVE-2026-49095) кроется в функции Fleet (модуль управления агентами Elastic). Из-за недостаточной проверки вводимых данных пользователь, имеющий права на управление политиками агентов, может подменить конфигурацию через специальный механизм переопределения. Это позволяет выдать агентам ключи API с завышенными привилегиями в Elasticsearch. В итоге атакующий получает несанкционированный доступ на чтение и запись к защищённым индексам безопасности, что прямо ведёт к компрометации всей платформы. Проблема присутствует во всех версиях 8.x и в версиях 9.x до 9.3.4 и 9.4.1.
Отдельного внимания заслуживают сразу четыре уязвимости, ведущие к отказу в обслуживании (CVE-2026-33464, CVE-2026-42399, CVE-2026-42400, CVE-2026-49094). Все они связаны с неконтролируемым потреблением ресурсов (CWE-400). Атакующему достаточно иметь учётную запись с минимальными правами, чтобы отправить специально сформированный запрос. Например, в одном из случаев злоумышленник может передать в API Kibana чрезмерно большую полезную нагрузку, что вызовет исчерпание памяти и процессора. Другая вариация предполагает использование инструмента визуализации Timelion: при помощи цепочки глубоко вложенных вызовов функций можно заставить Kibana выделять экспоненциально растущий объём памяти, что в итоге приводит к аварийному завершению процесса. Особенно опасно то, что для некоторых атак не требуется даже авторизация перед обработкой запроса - например, сжатый запрос обрабатывается до проверки прав (CVE-2026-42400). В результате сервис становится недоступен для всех пользователей до перезапуска.
Также обнаружена уязвимость обхода каталога (path traversal) в панели управления дашбордами (CVE-2026-33462). Она позволяет аутентифицированному пользователю создать дашборд с особым идентификатором, содержащим последовательности для обхода каталога. Когда администратор попытается удалить такой дашборд через интерфейс, запрос перенаправляется на внутренний конечный адрес, что может привести к удалению учётных записей или других ресурсов. Для успешной атаки требуется, чтобы администратор выполнил действие по удалению. Несмотря на средний уровень опасности (4,6 балла), последствия могут быть катастрофическими.
Ещё одна проблема касается истечения срока действия токенов доступа (CVE-2026-33463). Из-за ошибки в логике проверки временных меток токен для скачивания файлов с ограниченным доступом остаётся действительным за пределами установленного срока. Если злоумышленник перехватил такой токен, он сможет скачать содержимое даже после того, как владелец считал его недействительным. Эта уязвимость затрагивает версии 8.x и 9.3.4 и ниже, но только если администраторы используют функцию публичного общего доступа к файлам.
Наконец, уязвимость хранения внедрённого HTML-кода (CVE-2026-42401) позволяет пользователю с правами на запись в индекс Elasticsearch разместить вредоносную разметку. Когда другой пользователь открывает соответствующее представление Kibana, маркер не фильтруется должным образом. Это может привести к несанкционированным действиям внутри интерфейса браузера и исходящим сетевым запросам от имени жертвы.
В связи с масштабом обновления компания Elastic рекомендует всем администраторам безотлагательно обновить Kibana до самых свежих исправленных версий: 8.19.16, 9.3.5 или 9.4.2 в зависимости от используемой линейки. Для тех, кто не может выполнить обновление, разработчики советуют ограничить права пользователей: не давать права на создание дашбордов недоверенным лицам, отозвать все активные токены публичных ссылок на файлы, а также сузить круг лиц, имеющих доступ к управлению соединителями и функциям Fleet. Стоит отметить, что облачная версия Elastic Cloud Serverless, благодаря непрерывному циклу развёртывания и исправлений, не подвержена этим уязвимостям.
Такая массовая волна уязвимостей в одном продукте наглядно демонстрирует, что даже зрелые платформы требуют постоянного внимания к безопасности. Администраторам Kibana стоит пересмотреть свои политики разграничения доступа и подготовиться к внеплановому циклу обновлений.
Ссылки
- https://discuss.elastic.co/t/8-19-16-9-3-5-security-update-esa-2026-33/386551
- https://discuss.elastic.co/t/kibana-8-19-16-9-3-5-9-4-1-security-update-esa-2026-32/386548
- https://discuss.elastic.co/t/kibana-8-19-16-9-3-5-9-4-2-security-update-esa-2026-35/386554
- https://discuss.elastic.co/t/kibana-8-19-16-9-3-5-security-update-esa-2026-34/386552
- https://discuss.elastic.co/t/kibana-8-19-16-and-9-3-5-security-update-esa-2026-30/386545
- https://discuss.elastic.co/t/kibana-8-19-16-and-9-3-5-security-update-esa-2026-36/386556
- https://discuss.elastic.co/t/kibana-8-19-16-security-update-esa-2026-39/386561
- https://discuss.elastic.co/t/kibana-9-2-8-and-9-3-2-security-update-esa-2026-37/386557
- https://discuss.elastic.co/t/kibana-9-3-3-security-update-esa-2026-40/386562
- https://discuss.elastic.co/t/kibana-fleet-8-19-16-9-3-5-and-9-4-2-security-update-esa-2026-38/386559
- https://www.cve.org/CVERecord?id=CVE-2026-33462
- https://www.cve.org/CVERecord?id=CVE-2026-33463
- https://www.cve.org/CVERecord?id=CVE-2026-33464
- https://www.cve.org/CVERecord?id=CVE-2026-42398
- https://www.cve.org/CVERecord?id=CVE-2026-42399
- https://www.cve.org/CVERecord?id=CVE-2026-42400
- https://www.cve.org/CVERecord?id=CVE-2026-42401
- https://www.cve.org/CVERecord?id=CVE-2026-49093
- https://www.cve.org/CVERecord?id=CVE-2026-49094
- https://www.cve.org/CVERecord?id=CVE-2026-49095
