Elastic Patches Multiple Vulnerabilities That Enables Arbitrary File Theft and DoS Attacks
2026/01/14 CyberSecurityNews — Elastic がリリースした重要なセキュリティ・アップデートは、スタック全体に影響を及ぼす 4 件の脆弱性に対処するものである。このアップデートには、悪意のコネクタ・コンフィグを通じて任意のファイル漏洩を引き起こし得る High の深刻度を持つ欠陥が含まれている。Kibana および関連コンポーネントにおける、ファイル処理/入力検証/リソース割り当てメカニズムの問題を、このアップデートにより修正した。
修正された脆弱性の中で最も深刻とされる CVE-2026-0532 は、外部ファイルパス制御とサーバ・サイド・リクエスト・フォージェリ (SSRF) の組み合わせに起因するものである。認証済みの攻撃者により、影響を受けるシステム上の任意のファイルが抽出される可能性がある。
この脆弱性は、Google Gemini コネクタ・コンフィグにおいて、認証情報 JSON ペイロードを処理する際の検証不足に起因するものである。コネクタの作成/変更の権限を持つ攻撃者が悪意のコンフィグを作成することで、不正なネットワーク・リクエストや任意のファイル読み取りが引き起こされる可能性がある。
この脆弱性の CVSS v3.1 スコアは 8.6 と評価されており、Elastic バージョン 8.15.0 〜 8.19.9 以下、および、9.x 系の 9.2.3 以下に影響が生じる。一時的な緩和策としては、Kibana の xpack コンフィグにおいて actions.enabledActionTypes を使用し、該当するコネクタ・タイプを無効化することが可能である。
オンプレミス環境および Elastic Cloud 環境のユーザーに対して、8.19.10/9.1.10/9.2.4 へのアップグレードを強く推奨している。なお、Elastic Cloud Serverless を利用している環境は、継続的デプロイメントが実施されているため影響を受けない。
| CVE ID | Vulnerability | CVSS Score | Severity | Affected Versions |
|---|---|---|---|---|
| CVE-2026-0532 | External Control of File Name or Path (CWE-73) + Server-Side Request Forgery (CWE-918) | 8.6 | High | 8.15.0–8.19.9, 9.0.0–9.1.9, 9.2.0–9.2.3 |
| CVE-2026-0543 | Improper Input Validation (CWE-20) in Email Connector | 6.5 | Medium | 7.x all, 8.0.0–8.19.9, 9.0.0–9.1.9, 9.2.0–9.2.3 |
| CVE-2026-0531 | Allocation of Resources Without Limits (CWE-770) in Fleet | 6.5 | Medium | 7.10.0–7.17.29, 8.0.0–8.19.9, 9.0.0–9.1.9, 9.2.0–9.2.3 |
| CVE-2026-0530 | Allocation of Resources Without Limits (CWE-770) in Fleet | 6.5 | Medium | 7.10.0–7.17.29, 8.0.0–8.19.9, 9.0.0–9.1.9, 9.2.0–9.2.3 |
2つ目の脆弱性 CVE-2026-0543 は、Kibana のメール・コネクタにおける入力検証の不備により、細工されたメールアドレス・パラメータを通じて、サービス全体の停止を引き起こす可能性があると指摘されている。コネクタ実行権限を持つ攻撃者が、不正な形式のメールを送信した場合において、過剰なメモリ割り当てが発生し、手動でのサーバ再起動が必要になる可能性がある。この脆弱性は Medium の深刻度とされ、すべての 7.x 系/8.x 系の 8.19.9 以下/9.x 系の 9.2.3 以下に影響する。
Kibana Fleet には、リソース割り当てに関する2件の脆弱性も存在し、一括取得リクエストを通じたサービス拒否攻撃が引き起こされる可能性がある。CVE-2026-0531/CVE-2026-0530 は、低権限のログイン・ユーザーでも実行可能な、リソースを過度に消費するデータベース操作に起因する。2つの脆弱性の CVSS スコアは、いずれも 6.5 であり、7.10.0 以降の 7.x 系/8.x 系の 8.19.9 以下/9.x 系の 9.2.3 以下に影響する。これらの脆弱性に対する回避策は提供されていない。
すべてのユーザーに対して Elastic が強く指摘するのは、最新のセキュリティ・アップデートの速やかな適用である。アップグレードが困難な場合には、ネットワーク・セグメンテーションおよびアクセス制御を強化し、コネクタ権限の変更を厳格に制限する必要がある。
Elastic Stack に存在する、複数の脆弱性が修正されました。最も深刻な脆弱性 CVE-2026-0532 は、Kibana の “コネクタ” 機能における入力チェックの不備に起因します。特に深刻なケースでは、Google Gemini コネクタのコンフィグ時に送信される JSON データに対する不十分な検証により、サーバ内における任意のファイルの不正な読み取りや、ネットワーク・リクエストの強制などが可能になっていました (SSRF攻撃)。また、メール機能や Fleet 機能においても、不適切なデータ処理によるサーバ・メモリの過剰な消費と、システム・ダウンのリスクが発見されています。ご利用のチームは、ご注意ください。よろしければ、Elastic での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.