Se ha descubierto una vulnerabilidad de severidad alta en productos Elastic. Un actor malicioso podría realizar la lectura de archivos arbitrarios desde el sistema de archivos del servidor.
Productos afectados
- Kibana versiones 8.0.0 a 8.19.11.
- Kibana versiones 9.0.0 a 9.2.5 y versión 9.3.0.
- Packetbeat versiones 8.0.0 a 8.19.10.
- Packetbeat versiones 9.0.0 a 9.2.4.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-26938: con una puntuación de 8.6 en CVSS v3.1. Existe una vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en un motor de plantillas en la función de flujos de trabajo de Kibana. Un actor malicioso autenticado con privilegios de ejecución de flujos de trabajo podría explotar esta vulnerabilidad para leer archivos arbitrarios del servidor y realizar ataques de falsificación de solicitudes del lado del servidor mediante la inyección de código.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias