Se han descubierto vulnerabilidades de severidad alta en Kibana de Elastic. Un actor malicioso podría elevar sus privilegios o eludir las restricciones de seguridad mediante ataques de falsificación de solicitud del lado del servidor en los sistemas afectados.
Productos afectados
Kibana:
- Versiones 8.x iguales o anteriores a la 8.19.15.
- Versiones 9.x iguales o anteriores a la 9.3.4.
- Versiones 9.4.x iguales o anteriores a la 9.4.1.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-42398: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad de falsificación de solicitud del lado del servidor. Un actor malicioso remoto y autenticado con privilegios de gestión de conectores podría omitir la lista de permitidos configurada por el operador para emitir solicitudes salientes hacia destinos restringidos.
CVE-2026-49095: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de validación de entrada inadecuada en la función de gestión de políticas de agentes de Fleet. Un actor malicioso remoto y autenticado con privilegios de gestión de Fleet podría inyectar valores en el mecanismo de anulación de configuración para obtener claves de API con privilegios elevados de Elasticsearch, permitiendo el acceso no autorizado a índices de seguridad sensibles.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias