[TLP:CLEAR]
bollettino di sicurezza 104/2026
Aggiornamenti Elastic Kibana
04-06-2026
elastic, kibana, ssrf, denial-of-service, privilege-escalation, stored-xss
descrizione
Il bollettino copre dieci vulnerabilità in Elastic Kibana distribuite su più branch (8.0.0–8.19.16, 9.0.0–9.4.2).Due istanze di Server-Side Request Forgery (CWE-918) nel sottosistema di gestione dei connector consentono a utenti autenticati con privilegi di connector management di aggirare l'allowlist di uscita configurata dall'operatore, inducendo il server Kibana a emettere richieste verso destinazioni non autorizzate. Entrambe presentano scope Changed (S:C), con impatto in confidenzialità elevato.
Quattro vulnerabilità di Uncontrolled Resource Consumption (CWE-400) tramite Excessive Allocation (CAPEC-130) impattano disponibilità con rating A:H, distribuite su range di versioni parzialmente differenti nei branch 8.x e 9.x.
Una Improper Input Validation (CWE-20) nel componente Fleet agent policy management può portare a privilege escalation, con impatto su C:H e I:H.
Una Path Traversal (CWE-22) nella funzionalità di dashboard management e una Operation on Resource after Expiration (CWE-672) comportano rispettivamente manipolazione di risorse e information disclosure non autorizzata.
Una Improper Neutralization (CWE-79) produce stored HTML injection con scope Changed (S:C).
note
Dal vettore CVSS tutte le vulnerabilità sono sfruttabili remotamente (AV:N). La complessità di attacco è bassa (AC:L) per tutte tranne CVE-2026-49093 (AC:H).Le due SSRF (CVE-2026-42398, CVE-2026-49093) richiedono autenticazione con privilegi di connector management (PR:L) e nessuna interazione utente (UI:N). Entrambe presentano S:C, indicando impatto oltre il processo Kibana. CVE-2026-42398 ha CVSS 8.0 (priority high) e interessa i range 9.0.0–9.2.8 e 9.3.0–9.3.2; CVE-2026-49093 ha CVSS 6.0 (priority medium) con AC:H e interessa esclusivamente il range 9.3.0–9.3.3.
Le quattro CVE di tipo DoS (CVE-2026-33464, CVE-2026-42399, CVE-2026-42400, CVE-2026-49094) condividono vettore identico (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H, CVSS 7.0, priority high) e richiedono solo autenticazione base. La copertura delle versioni differisce: CVE-2026-49094 interessa unicamente il branch 8.0.0–8.19.16; CVE-2026-42400 copre anche il range 9.4.0–9.4.2; CVE-2026-33464 include esplicitamente la versione puntuale 9.4.0.
CVE-2026-49095 (Improper Input Validation, Fleet) richiede privilegi elevati (PR:H) ma presenta C:H e I:H con S:U; interessa i branch 8.0.0–8.19.16, 9.0.0–9.3.5 e 9.4.0–9.4.2. Priority high.
CVE-2026-33463 (CWE-672, information disclosure) non richiede autenticazione (PR:N, UI:N), con impatto C:L e CVSS 5.0; il priority_score la colloca in fascia high per via dell'EPSS percentile più elevato del gruppo. Interessa 8.0.0–8.19.16 e 9.0.0–9.3.5.
CVE-2026-33462 (Path Traversal, CWE-22) richiede PR:L e UI:R, con impatto I:L e A:L; priority medium. Stessi range di CVE-2026-33463.
CVE-2026-42401 (CWE-79, stored HTML injection) richiede PR:L, UI:R, S:C, impatto I:L; priority medium. Stessi range 8.0.0–8.19.16 e 9.0.0–9.3.5.
Non risultano a oggi CVE nel catalogo CISA KEV, exploit in the wild o proof-of-concept pubblici.
CVE
| CVE | CVSS | EPSS | priority |
|---|---|---|---|
| CVE-2026-49095 | 3.1: 7.0 | 0.042% | 13.04% | high |
| CVE-2026-33464 | 3.1: 7.0 | 0.042% | 12.96% | high |
| CVE-2026-42398 | 3.1: 8.0 | 0.028% | 8.57% | high |
| CVE-2026-42399 | 3.1: 7.0 | 0.039% | 12.15% | high |
| CVE-2026-42400 | 3.1: 7.0 | 0.039% | 12.15% | high |
| CVE-2026-49094 | 3.1: 7.0 | 0.039% | 12.15% | high |
| CVE-2026-33463 | 3.1: 5.0 | 0.052% | 16.42% | high |
| CVE-2026-49093 | 3.1: 6.0 | 0.028% | 8.57% | medium |
| CVE-2026-33462 | 3.1: 5.0 | 0.025% | 7.66% | medium |
| CVE-2026-42401 | 3.1: 4.0 | 0.029% | 8.97% | medium |
NOTA: Le vulnerabilità sono ordinate per priorità operativa, calcolata combinando la gravità teorica (CVSS) con la probabilità reale di sfruttamento (EPSS).
tipi di attacco
| CWE | descrizione |
|---|---|
| CWE-918 | Server-Side Request Forgery (SSRF) |
| CWE-400 | Uncontrolled Resource Consumption |
| CWE-20 | Improper Input Validation |
| CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
| CWE-672 | Operation on a Resource after Expiration or Release |
| CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') |
prodotti impattati
| vendor | prodotto & versioni |
|---|---|
| elastic |
kibana
|