Elastic выпустила масштабные обновления безопасности, закрыв более десяти уязвимостей в Elasticsearch, Kibana, Fleet Server и Elastic Defend

Elastic

Компания Elastic опубликовала одиннадцать бюллетеней безопасности, в которых сообщила об устранении множества уязвимостей в своих продуктах. Уязвимости затрагивают Elasticsearch, Kibana, Fleet Server и Elastic Defend, а их эксплуатация могла привести к удалённому отказу в обслуживании, раскрытию конфиденциальных данных, нарушению целостности данных и обходу политик безопасности. Большинство проблем оцениваются как средние по шкале CVSS, однако одна из них - в Kibana, связанная с инъекцией в логи, - получила высокий уровень опасности.

Детали уязвимостей

Наибольшее количество уязвимостей зафиксировано в системе управления журналами и визуализации данных Kibana. Среди них - уязвимость CVE-2026-49091 (CVSS 8.0), вызванная некорректной нейтрализацией вывода для логов. Злоумышленник, имеющий доступ к аутентифицированной учётной записи, мог передать специально сформированные строки, которые при просмотре логов в терминале, интерпретирующем управляющие последовательности, изменяли отображаемые данные. Эта атака могла привести к подмене записей журнала, что осложняет расследование инцидентов. Уязвимость затрагивает все версии Kibana вплоть до 7.17.14 и 8.11.0; обновление до версий 7.17.15 и 8.11.1 полностью её устраняет. Для пользователей, которые не могут установить патч, разработчики рекомендуют просматривать логи только в инструментах, не обрабатывающих управляющие последовательности терминала.

Ещё одна уязвимость Kibana, CVE-2026-49087 (CVSS 6.5), связана с неограниченным выделением ресурсов. Аутентифицированный пользователь мог отправить массовый запрос на удаление данных через функцию Timeline, что приводило к исчерпанию памяти и отказу в обслуживании Kibana. Проблема затрагивает версии до 8.19.14 и 9.3.3; исправление доступно в версиях 8.19.15 и 9.3.4. Другая уязвимость этой категории - CVE-2026-56151 (CVSS 6.5) - затрагивает механизм управления политиками Fleet: специально оформленный ввод политики мог привести к недоступности функций Fleet-агента, сервера и управления политиками. Исправление включено в Kibana 8.19.17, 9.3.6 и 9.4.3.

Уязвимость CVE-2026-49088 (CVSS 4.4) касается включения конфиденциальной информации в файлы журнала. Если у администратора включена опция APM-инструментария (мониторинг производительности приложений), значения некоторых заголовков запросов, включая файлы cookie, могли записываться в логи. Доступ к этим записям могли получить операторы, имеющие права на чтение журналов. Разработчики рекомендуют отключить APM-инструментарий до установки обновления; патчи вышли для версий 8.18.9, 8.19.6, 9.0.8 и 9.1.6.

Ещё одна уязвимость Kibana CVE-2026-49089 (CVSS 4.2) позволяет обойти авторизацию через управляемый пользователем ключ. Аутентифицированный пользователь AI-помощника мог, зная идентификатор чужого разговора (который сложно угадать), получить к нему доступ или изменить его. Проблема устранена в версиях 8.16.3 и 8.17.2.

Сразу несколько уязвимостей обнаружено в поисковой системе Elasticsearch. Уязвимость CVE-2026-56148 (CVSS 6.5) вызвана неконтролируемой рекурсией: аутентифицированный пользователь мог отправить специально сконструированный запрос, который вызывал чрезмерное потребление ресурсов и выводил узел из строя. Исправление доступно в Elasticsearch 8.19.17, 9.3.6 и 9.4.3. Другая уязвимость Elasticsearch CVE-2026-56149 (CVSS 4.9) связана с неограниченным выделением ресурсов при обработке запросов машинного обучения. Пользователь с повышенными привилегиями мог запустить задачу обучения модели, которая вызывала чрезмерное потребление памяти; устранена в тех же версиях. Уязвимость CVE-2026-49090 (CVSS 6.5) затрагивает старые ветки Elasticsearch - 7.x и ранние 8.x: аутентифицированный пользователь мог отправить специально сформированный массовый запрос к API, вызывающий устойчиво высокую загрузку ЦП, что делало узел недоступным. Исправление - версии 7.17.24 и 8.15.0.

Сервер управления агентами Fleet Server также содержит две уязвимости. Первая, CVE-2026-32283 (CVSS 7.5), вызвана зависимостью от уязвимого стороннего компонента в стандартной библиотеке Go. Удалённый злоумышленник мог вызвать отказ в обслуживании, отправив специально созданную полезную нагрузку. Исправление в Fleet Server 8.19.15, 9.3.4 и 9.4.0. Вторая уязвимость Fleet Server CVE-2026-56150 (CVSS 6.5) связана с неограниченным выделением ресурсов: атакующий мог отправить запрос к конечной точке загрузки, что приводило к чрезмерному потреблению памяти. Обновление до версий 8.19.11, 9.2.5 и 9.3.0.

Наконец, в продукте для защиты конечных точек Elastic Defend обнаружена уязвимость CVE-2026-56152 (CVSS 5.3), связанная с некорректной авторизацией. При определённых условиях пользователь с низкими привилегиями мог получить доступ к данным ответных действий, которые ему не полагалось видеть. Проблема затрагивает версии с 8.6.0 до 8.19.12 и ряд версий 9.x; исправлена в Elastic Defend 8.19.13, 9.2.7 и 9.3.2.

Для всех перечисленных уязвимостей компания Elastic уже выпустила исправления. Администраторам рекомендуется как можно скорее обновить соответствующие компоненты до указанных версий. Для пользователей облачных сервисов Elastic Cloud и Elastic Cloud Serverless большая часть проблем была устранена до публичного раскрытия благодаря непрерывной модели поставки обновлений. В случаях, где временное решение возможно, разработчики приводят конкретные рекомендации, однако для многих уязвимостей обходные пути отсутствуют, и единственным способом защиты является установка патча.

Массовый выпуск обновлений за один день свидетельствует о планомерной работе Elastic по устранению уязвимостей, выявленных внутренними исследованиями и внешними отчётами. Организациям, использующим продукты Elastic, следует включить эти обновления в ближайшее плановое обслуживание, обращая особое внимание на компоненты, задействованные в критичных бизнес-процессах.

Ссылки

Комментарии: 0