Elastic corrige falhas que permitem leitura arbitrária de arquivos e negação de serviço | Riscos e Ameaças

Elastic disponibilizou correções para quatro vulnerabilidades em Kibana e componentes associados, incluindo CVE-2026-0532 (CVSS 8.6) que combina controle de caminho com SSRF e permite leitura arbitrária de arquivos via conectores maliciosos.

Elastic divulgou atualizações de segurança que corrigem quatro vulnerabilidades em Kibana e componentes relacionados, incluindo uma falha de alta severidade que combina controle externo de caminho de arquivo com server‑side request forgery (SSRF).

Quais vulnerabilidades foram corrigidas

A divulgação lista quatro CVEs com impactos distintos:

CVE-2026-0532 — External Control of File Name or Path (CWE-73) combinado com SSRF (CWE-918). CVSS 8.6 (High). Afeta versões 8.15.0–8.19.9, 9.0.0–9.1.9 e 9.2.0–9.2.3. A exploração por um atacante autenticado com privilégios para criar ou modificar conectores pode permitir a leitura arbitrária de arquivos do sistema alvo via configurações maliciosas do conector.
CVE-2026-0543 — Improper Input Validation (CWE-20) no conector de e‑mail. CVSS 6.5 (Medium). Afeta todas as 7.x, 8.0.0–8.19.9 e 9.0.0–9.2.3. Parâmetros de e‑mail malformados podem causar alocação excessiva de memória e gerar indisponibilidade do serviço.
CVE-2026-0531 e CVE-2026-0530 — Falhas de alocação de recursos sem limites (CWE-770) em Fleet que permitem negação de serviço via requisições de recuperação em massa. Ambos com CVSS 6.5 (Medium) e afetando linhas 7.10.0+, 8.x até 8.19.9 e 9.x até 9.2.3.

Vetor de ataque e mitigação

CVE-2026-0532 exige que o invasor possua permissão para criar ou modificar conectores — cenário que, em ambientes mal segmentados, pode ser explorado por usuários autenticados com privilégios de ação sobre conectores. A combinação de controle de caminho externo com SSRF facilita a extração de arquivos arbitrários quando um conector é configurado de forma maliciosa.

Elastic recomenda aplicar as atualizações imediatamente. Para quem não puder atualizar imediatamente, a configuração de mitigação temporária permite desabilitar tipos de conectores via a setting xpack.actions.enabledActionTypes, reduzindo a superfície de ataque ao impedir criação/executação de conectores vulneráveis.

Impacto para clientes e Elastic Cloud

Os clientes rodando as versões afetadas em infraestruturas on‑premises ou gerenciadas devem priorizar o upgrade para as versões corrigidas: 8.19.10, 9.1.10 ou 9.2.4 conforme a linha aplicada. A publicação informa que clientes do Elastic Cloud Serverless não foram afetados devido ao modelo de deploy contínuo da plataforma.

Recomendações operacionais

Aplique os patches oficiais fornecidos (8.19.10 / 9.1.10 / 9.2.4) o quanto antes;
Se não for possível atualizar imediatamente, desabilite tipos de conectores não utilizados e restrinja permissões de criação/alteração de conectores a administradores de confiança;
Implemente segmentação de rede e controles de acesso para reduzir a capacidade de atacantes autenticados de manipular conectores ou alcançar servidores internos visados por SSRF;
Audite logs de criação/alteração de conectores e buscas de arquivos incomuns que possam indicar tentativas de exploração.

Observações finais

O CVE-2026-0532, com CVSS 8.6, representa o maior risco do conjunto por permitir extração arbitrária de arquivos quando combinado com privilégios de configuração de conectores. Organizações com Kibana exposto e com equipes que usam integrações de conectores devem tratar esse patch como prioridade alta.

Fonte: Cyber Security News (disclosure de Elastic)