BADA! Katsu!

anteprima bollettino

[TLP:CLEAR]

bollettino di sicurezza 72/2026

Aggiornamenti Elastic NV - Kibana

03-03-2026

kibana, core, update, esa-2026-17

Aggiornamenti Elastic NV - Kibana

descrizione

Elastic ha pubblicato aggiornamenti di sicurezza per Kibana volti a correggere diverse vulnerabilità che possono consentire attacchi di Denial of Service, Server-Side Request Forgery e accesso non autorizzato a risorse locali del sistema.
I pericoli riguardano in particolare la gestione dei workflow e dei template, la validazione degli input su endpoint interni, l’elaborazione di espressioni regolari con complessità inefficiente e il consumo incontrollato di risorse applicative.
Alla data di pubblicazione dell’advisory non risultano vulnerabilità classificate come zero-day attivamente sfruttate.

Le correzioni sono state distribuite nelle versioni 8.19.11, 8.19.12, 9.2.5, 9.2.6 e 9.3.1 a seconda della specifica vulnerabilità.

note

Il livello di rischio complessivo è valutato come Medio–Alto, con impatto maggiore per ambienti esposti a reti non fidate o con utenti autenticati dotati di privilegi estesi. In tali contesti, un eventuale sfruttamento potrebbe determinare interruzione del servizio, degrado significativo delle prestazioni o accesso non autorizzato a file locali e risorse interne.

CVE

CVE score severity CVSS
CVE-2026-26938 8.6 high CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
CVE-2026-26937 6.5 medium CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVE-2026-26935 6.5 medium CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVE-2026-26934 6.5 medium CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
CVE-2026-26936 4.9 medium CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H

tipi di attacco

CWE descrizione
CWE-1336 Improper Neutralization of Special Elements Used in a Template Engine
CWE-400 Uncontrolled Resource Consumption
CWE-1333 Inefficient Regular Expression Complexity
CWE-20 Improper Input Validation
CWE-1284 Improper Validation of Specified Quantity in Input

prodotti impattati

vendor prodotto & versioni
elastickibana
  • da: 9.3.0 a 9.3.0
  • da: 9.0.0 a 9.2.4
  • da: 9.0.0 a 9.2.5
  • da: 8.4.0 a 8.19.11
  • da: 8.18.0 a 8.19.11
  • da: 8.0.0 a 8.19.10

riferimenti

discuss.elastic.co/t/kibana-8-19-11-9-2-5-security-update-esa-2026-14/385250
discuss.elastic.co/t/kibana-8-19-11-9-2-5-security-update-esa-2026-15/385251
discuss.elastic.co/t/kibana-8-19-12-9-2-6-9-3-1-security-update-esa-2026-12/385248
discuss.elastic.co/t/kibana-8-19-12-9-2-6-9-3-1-security-update-esa-2026-13/385249
discuss.elastic.co/t/kibana-9-3-1-security-update-esa-2026-17/385253
indietro