Компания Elastic опубликовала одиннадцать бюллетеней безопасности, в которых сообщила об устранении множества уязвимостей в своих продуктах. Уязвимости затрагивают Elasticsearch, Kibana, Fleet Server и Elastic Defend, а их эксплуатация могла привести к удалённому отказу в обслуживании, раскрытию конфиденциальных данных, нарушению целостности данных и обходу политик безопасности. Большинство проблем оцениваются как средние по шкале CVSS, однако одна из них - в Kibana, связанная с инъекцией в логи, - получила высокий уровень опасности.
Детали уязвимостей
Наибольшее количество уязвимостей зафиксировано в системе управления журналами и визуализации данных Kibana. Среди них - уязвимость CVE-2026-49091 (CVSS 8.0), вызванная некорректной нейтрализацией вывода для логов. Злоумышленник, имеющий доступ к аутентифицированной учётной записи, мог передать специально сформированные строки, которые при просмотре логов в терминале, интерпретирующем управляющие последовательности, изменяли отображаемые данные. Эта атака могла привести к подмене записей журнала, что осложняет расследование инцидентов. Уязвимость затрагивает все версии Kibana вплоть до 7.17.14 и 8.11.0; обновление до версий 7.17.15 и 8.11.1 полностью её устраняет. Для пользователей, которые не могут установить патч, разработчики рекомендуют просматривать логи только в инструментах, не обрабатывающих управляющие последовательности терминала.
Ещё одна уязвимость Kibana, CVE-2026-49087 (CVSS 6.5), связана с неограниченным выделением ресурсов. Аутентифицированный пользователь мог отправить массовый запрос на удаление данных через функцию Timeline, что приводило к исчерпанию памяти и отказу в обслуживании Kibana. Проблема затрагивает версии до 8.19.14 и 9.3.3; исправление доступно в версиях 8.19.15 и 9.3.4. Другая уязвимость этой категории - CVE-2026-56151 (CVSS 6.5) - затрагивает механизм управления политиками Fleet: специально оформленный ввод политики мог привести к недоступности функций Fleet-агента, сервера и управления политиками. Исправление включено в Kibana 8.19.17, 9.3.6 и 9.4.3.
Уязвимость CVE-2026-49088 (CVSS 4.4) касается включения конфиденциальной информации в файлы журнала. Если у администратора включена опция APM-инструментария (мониторинг производительности приложений), значения некоторых заголовков запросов, включая файлы cookie, могли записываться в логи. Доступ к этим записям могли получить операторы, имеющие права на чтение журналов. Разработчики рекомендуют отключить APM-инструментарий до установки обновления; патчи вышли для версий 8.18.9, 8.19.6, 9.0.8 и 9.1.6.
Ещё одна уязвимость Kibana CVE-2026-49089 (CVSS 4.2) позволяет обойти авторизацию через управляемый пользователем ключ. Аутентифицированный пользователь AI-помощника мог, зная идентификатор чужого разговора (который сложно угадать), получить к нему доступ или изменить его. Проблема устранена в версиях 8.16.3 и 8.17.2.
Сразу несколько уязвимостей обнаружено в поисковой системе Elasticsearch. Уязвимость CVE-2026-56148 (CVSS 6.5) вызвана неконтролируемой рекурсией: аутентифицированный пользователь мог отправить специально сконструированный запрос, который вызывал чрезмерное потребление ресурсов и выводил узел из строя. Исправление доступно в Elasticsearch 8.19.17, 9.3.6 и 9.4.3. Другая уязвимость Elasticsearch CVE-2026-56149 (CVSS 4.9) связана с неограниченным выделением ресурсов при обработке запросов машинного обучения. Пользователь с повышенными привилегиями мог запустить задачу обучения модели, которая вызывала чрезмерное потребление памяти; устранена в тех же версиях. Уязвимость CVE-2026-49090 (CVSS 6.5) затрагивает старые ветки Elasticsearch - 7.x и ранние 8.x: аутентифицированный пользователь мог отправить специально сформированный массовый запрос к API, вызывающий устойчиво высокую загрузку ЦП, что делало узел недоступным. Исправление - версии 7.17.24 и 8.15.0.
Сервер управления агентами Fleet Server также содержит две уязвимости. Первая, CVE-2026-32283 (CVSS 7.5), вызвана зависимостью от уязвимого стороннего компонента в стандартной библиотеке Go. Удалённый злоумышленник мог вызвать отказ в обслуживании, отправив специально созданную полезную нагрузку. Исправление в Fleet Server 8.19.15, 9.3.4 и 9.4.0. Вторая уязвимость Fleet Server CVE-2026-56150 (CVSS 6.5) связана с неограниченным выделением ресурсов: атакующий мог отправить запрос к конечной точке загрузки, что приводило к чрезмерному потреблению памяти. Обновление до версий 8.19.11, 9.2.5 и 9.3.0.
Наконец, в продукте для защиты конечных точек Elastic Defend обнаружена уязвимость CVE-2026-56152 (CVSS 5.3), связанная с некорректной авторизацией. При определённых условиях пользователь с низкими привилегиями мог получить доступ к данным ответных действий, которые ему не полагалось видеть. Проблема затрагивает версии с 8.6.0 до 8.19.12 и ряд версий 9.x; исправлена в Elastic Defend 8.19.13, 9.2.7 и 9.3.2.
Для всех перечисленных уязвимостей компания Elastic уже выпустила исправления. Администраторам рекомендуется как можно скорее обновить соответствующие компоненты до указанных версий. Для пользователей облачных сервисов Elastic Cloud и Elastic Cloud Serverless большая часть проблем была устранена до публичного раскрытия благодаря непрерывной модели поставки обновлений. В случаях, где временное решение возможно, разработчики приводят конкретные рекомендации, однако для многих уязвимостей обходные пути отсутствуют, и единственным способом защиты является установка патча.
Массовый выпуск обновлений за один день свидетельствует о планомерной работе Elastic по устранению уязвимостей, выявленных внутренними исследованиями и внешними отчётами. Организациям, использующим продукты Elastic, следует включить эти обновления в ближайшее плановое обслуживание, обращая особое внимание на компоненты, задействованные в критичных бизнес-процессах.
Ссылки
- https://discuss.elastic.co/t/elastic-defend-8-19-13-9-2-7-9-3-2-security-update-esa-2026-46/387443
- https://discuss.elastic.co/t/elasticsearch-7-17-24-8-15-0-security-update-esa-2026-52/387447
- https://discuss.elastic.co/t/elasticsearch-8-19-17-9-3-6-9-4-3-security-update-esa-2026-42/387439
- https://discuss.elastic.co/t/elasticsearch-8-19-17-9-3-6-9-4-3-security-update-esa-2026-43/387440
- https://discuss.elastic.co/t/fleet-server-8-19-11-9-2-5-9-3-0-security-update-esa-2026-44/387441
- https://discuss.elastic.co/t/fleet-server-8-19-15-9-3-4-9-4-0-security-update-esa-2026-41/387438
- https://discuss.elastic.co/t/kibana-7-17-15-8-11-1-security-update-esa-2026-53/387449
- https://discuss.elastic.co/t/kibana-8-16-3-8-17-2-security-update-esa-2026-51/387446
- https://discuss.elastic.co/t/kibana-8-18-9-8-19-6-9-0-8-9-1-6-security-update-esa-2026-50/387445
- https://discuss.elastic.co/t/kibana-8-19-15-9-3-4-security-update-esa-2026-49/387444
- https://discuss.elastic.co/t/kibana-8-19-17-9-3-6-9-4-3-security-update-esa-2026-45/387442