
Se han lanzado actualizaciones de seguridad que corrigen múltiples vulnerabilidades en productos Elastic, entre ellas, dos de severidad alta. Un actor malicioso podría manipular registros internos del sistema o comprometer la disponibilidad de los servicios mediante ataques de denegación de servicio.
Productos afectados
Elastic Fleet Server:
- Versiones de la rama 8.12.x anteriores a la 8.12.1
- Versiones de la rama 8.11.x anteriores a la 8.11.4
- Versiones de la rama 8.15.x anteriores a las compilaciones de mantenimiento correspondientes descritas en el boletín ESA-2026-41.
Elastic Kibana:
- Versiones de la rama 8.0.0 hasta la 8.11.0 (corregido en 8.11.1).
- Versiones de la rama 7.0.0 hasta la 7.17.14 (corregido en 7.17.15).
Impacto
Las vulnerabilidades se han identificado como:
CVE-2026-49091: con una puntuación de 8.0 en CVSS v3.1. Existe una vulnerabilidad de neutralización inadecuada de la salida para registros en la plataforma de visualización de datos Kibana. Esta se genera bajo la técnica de manipulación y falsificación de registros, debido a que el sistema no aplica una codificación o escape correcto a los datos ingresados por el usuario antes de escribirlos en las bitácoras. Un actor malicioso remoto autenticado con privilegios mínimos podría aprovechar esta deficiencia enviando entradas que contengan caracteres de control especiales o saltos de línea.
CVE-2026-32283: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de gestión de hilos y bloqueo incorrecto en el paquete de la biblioteca estándar crypto/tls del lenguaje de programación Go. Este problema solo afecta a TLS 1.3. Esta radica en que si un extremo de la comunicación envía de manera consecutiva múltiples mensajes legítimos de actualización de claves agrupados dentro de un único registro TLS tras haber establecido el apretón de manos, el flujo lógico de lectura se satura. Un actor malicioso remoto podría aprovechar este comportamiento enviando solicitudes diseñadas para bloquear la conexión de manera indefinida.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias