Elasticは、Kibanaに存在する4件の重大な脆弱性に対処する緊急のセキュリティパッチを公開しました。これらの脆弱性により、攻撃者が機密ファイルを盗み出したり、サービス停止を引き起こしたり、システムリソースを枯渇させたりする可能性があります。
2026年1月14日に公開されたアドバイザリは、7.xから9.2.3までの複数のKibanaバージョンに影響します。
重大なファイル開示およびSSRFの脆弱性
最も深刻な欠陥であるCVE-2026-0532は、CVSSスコア8.6で、外部ファイルパス制御とサーバーサイドリクエストフォージェリ(SSRF)を組み合わせたものです。
この脆弱性はKibanaのGoogle Geminiコネクタに存在し、コネクタ管理権限を持つ認証済み攻撃者が悪意のあるJSONペイロードを作成して認証情報を窃取できる可能性があります。
| CVE ID | CVSSスコア | 深刻度 | 脆弱性の種類 |
|---|---|---|---|
| CVE-2026-0532 | 8.6 | 高 | SSRF & ファイル開示(CWE-918、CWE-73) |
| CVE-2026-0543 | 6.5 | 中 | 不適切な入力検証(CWE-20) |
| CVE-2026-0531 | 6.5 | 中 | 制御されないリソース割り当て(CWE-770) |
| CVE-2026-0530 | 6.5 | 中 | 制御されないリソース割り当て(CWE-770) |
不適切な検証を悪用することで、脅威アクターは任意のネットワークリクエストを発生させ、影響を受けるシステムから機密ファイルを直接読み取れる可能性があり、設定ファイル、認証情報、アプリケーションデータが露出する恐れがあります。
中程度の深刻度の脆弱性3件(CVE-2026-0530、CVE-2026-0531、CVE-2026-0543)は、リソース枯渇によるサービス拒否(DoS)状態を引き起こします。
CVE-2026-0530およびCVE-2026-0531はKibana Fleetにおける制御されないリソース割り当てに起因し、低権限の閲覧者が特別に整形された一括取得リクエストを作成して、冗長なデータベース処理を誘発できる可能性があります。
これらの処理はサーバーがクラッシュするまでメモリを消費します。同様に、CVE-2026-0543はEmail Connectorに影響し、メールアドレスパラメータに対する不適切な入力検証により過剰なリソース消費が発生し、サービスが完全に利用不能となります。
影響を受ける脆弱性の連鎖は、未パッチのKibanaを運用している組織が直ちに悪用されるリスクに直面していることを示しています。
Elasticは、導入ブランチに応じて、バージョン8.19.10、9.1.10、または9.2.4への緊急アップグレードを推奨しています。
直ちにアップグレードできない組織向けに、Elasticは限定的な緩和策も提供しており、xpack.actions.enabledActionTypes設定パラメータを通じて特定のコネクタ種別を無効化することが可能です。
特筆すべき点として、Elastic Cloud Serverlessのデプロイは、公開前に継続的デプロイモデルを通じてパッチが適用されており、クラウドネイティブの利用者は露出から保護されています。
組織は、導入アーキテクチャと露出レベルに基づいてパッチ適用を優先すべきであり、特に、信頼できないネットワークからアクセス可能なシステムや、認証済みユーザーがコネクタ操作を実行し得る共有マルチテナント環境においては、注意を払う必要があります。
翻訳元: https://gbhackers.com/multiple-elastic-vulnerabilities/
