Se han descubierto vulnerabilidades de severidad alta en productos Elastic. Un actor malicioso podría ejecutar código arbitrario, realizar la escritura de archivos arbitrarios o acceder a información confidencial en los sistemas afectados.
Productos afectados
Logstash y Kibana:
- Versiones 8.x desde la 8.0.0 hasta la 8.19.13.
- Versiones 9.x desde la 9.0.0 hasta la 9.2.7.
- Versiones 9.x desde la 9.3.0 hasta la 9.3.2.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-33466: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de limitación inadecuada de una ruta de acceso a un directorio restringido. Un actor malicioso remoto podría enviar un archivo comprimido especialmente diseñado para realizar la escritura de archivos arbitrarios en el sistema de archivos del host. En configuraciones donde la recarga automática de la canalización está habilitada, esto podría derivar en la ejecución remota de código.
CVE-2026-33461: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad de autorización incorrecta en el componente Fleet de Kibana. Un actor malicioso remoto y autenticado con privilegios limitados podría explotar un punto final de la API interna para obtener datos de configuración confidenciales, como claves privadas y tokens de autenticación, eludiendo las comprobaciones de seguridad establecidas.
CVE-2026-4498: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad de ejecución con privilegios innecesarios en los manejadores de rutas de depuración del complemento Fleet. Un actor malicioso remoto y autenticado con privilegios de subfunción de Fleet podría acceder y leer datos de índice que se encuentran fuera de su ámbito de control de acceso basado en roles.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias