Elasticは、攻撃者が機密ファイルを窃取し、サービス停止を引き起こし、システムリソースを枯渇させる可能性がある、Kibanaにおける4件の重大な脆弱性に対処する緊急のセキュリティパッチを公開しました。
2026年1月14日に公開されたアドバイザリは、7.xから9.2.3までの複数のKibanaバージョンに影響し、影響を受ける導入環境では直ちにパッチ適用が必要です。
最も深刻な欠陥であるCVE-2026-0532はCVSSスコア8.6で、外部からのファイルパス制御とサーバーサイドリクエストフォージェリを組み合わせたものです。
この脆弱性はKibanaのGoogle Geminiコネクタに存在し、コネクタ管理権限を持つ認証済み攻撃者が、認証情報や機密アプリケーションデータを窃取できる悪意のあるJSONペイロードを作成できるようになります。
不適切な検証メカニズムを悪用することで、脅威アクターは任意のネットワークリクエストを発生させ、影響を受けるシステムから機密ファイルを直接読み取ることが可能となり、設定ファイル、認証情報、脆弱なサーバーに保存されたアプリケーションデータが露出する恐れがあります。
この攻撃ベクトルには認証が必要ですが、コネクタ管理権限が広く付与されている組織にとっては重大なリスクとなります。
中程度の深刻度の脆弱性3件は、リソース枯渇メカニズムによりサービス拒否(DoS)状態を引き起こします。
CVE-2026-0530およびCVE-2026-0531はKibana Fleetにおける制御されないリソース割り当てに起因し、低権限の閲覧者が、冗長なデータベース操作を引き起こす特別に整形された一括取得リクエストを作成できるようになります。
これらの操作はサーバーがクラッシュするまでメモリを消費し、正当なユーザーがプラットフォームを利用できなくなります。
同様に、CVE-2026-0543はEmail Connectorに影響し、メールアドレスパラメータに対する不適切な入力検証により過剰なリソース消費が発生し、サービスが完全に利用不能となります。
影響を受ける脆弱性の連鎖は、未パッチのKibanaを運用している組織が、外部および内部の脅威アクターの双方から直ちに悪用されるリスクに直面していることを示しています。
直ちにアップグレードできない組織向けに、Elasticは、xpack.actions.enabledActionTypes設定パラメータを通じて特定のコネクタ種別を無効化することなど、限定的な緩和策を提供しています。
組織は、導入アーキテクチャと露出レベルに基づいてパッチ適用の優先順位を付けるべきであり、特に、信頼できないネットワークからアクセス可能なシステムや、認証済みユーザーがコネクタ操作を実行し得る共有マルチテナント環境に注意を払う必要があります。
なお、Elastic Cloud Serverlessの導入環境は、公表前に継続的デプロイモデルを通じてパッチが適用されており、クラウドネイティブのユーザーは露出から保護されました。
翻訳元: https://cyberpress.org/elastic-patches-multiple-vulnerabilities/