Kibana 安全更新公告(ESA-2026-36)
Elastic 官方於 2026 年 5 月 28 日發布安全公告,指出 Kibana 的 CVE-2026-42399 可能因記憶體耗盡導致服務中斷,建議升級至 8.19.16 或 9.3.5。
官方公告重點
Elastic 指出,Kibana 中的 Uncontrolled Resource Consumption(CWE-400)可能導致 denial of service,並可透過 Excessive Allocation(CAPEC-130)放大影響。具低權限的已驗證使用者可提交一段包含深度串接函式呼叫的 Timelion visualization expression,使 Kibana 在處理時持續消耗大量記憶體。
受影響版本為 8.x 的 8.0.0 至 8.19.15(含),以及 9.x 的 9.0.0 至 9.3.4(含)。此問題適用於所有具備 Timelion visualization feature 存取權的 Kibana 部署,包括 self-managed 與 Elastic Cloud Hosted 環境。
問題已在 8.19.16 與 9.3.5 版本修復。
Elastic Cloud Serverless 方面,由於其持續部署與修補模式,這項安全公告所述弱點已在公開揭露前完成修補。
嚴重性:CVSS v3.1 為 Medium(6.5);CVE ID:CVE-2026-42399;Problem Type:CWE-400 – Uncontrolled Resource Consumption;Impact:CAPEC-130 – Excessive Allocation。
影響版本
8.x:8.0.0 至 8.19.15(含)
9.x:9.0.0 至 9.3.4(含)
受影響環境
所有具備 Timelion visualization feature 存取權的 Kibana 部署。
包含 self-managed 與 Elastic Cloud Hosted 環境。
建議措施
Kibana 建議升級至安全版本:
- 8.19.16 / 9.3.5
Elastic Cloud 環境:
Elastic 也補充其雲端服務狀態。
- Elastic Cloud Serverless:
由於持續部署與修補模式,Elastic 表示此安全公告所述弱點已在公開揭露前於 Elastic Cloud Serverless 完成修補。
安全性建議
▲ 儘速升級至 8.19.16 或 9.3.5。
本公司高度重視客戶系統安全,已協助多家企業進行版本檢測與升級建議。如需支援或有相關疑問,歡迎與我們聯繫。
