Kibana CVE-2026-49094 漏洞通報與升級建議:影響範圍與修補措施總整理

2026-07-07 更新

Kibana 安全更新公告(ESA-2026-39)

Elastic 官方於 2026 年 5 月 28 日發布安全公告,指出 Kibana 的 CVE-2026-49094 可能因資源耗盡導致服務拒絕,建議升級至 8.19.16。

官方公告重點

Elastic 指出,Kibana 中的 Uncontrolled Resource Consumption(CWE-400)可能導致 denial of service,並可透過 Excessive Allocation(CAPEC-130)放大影響。具 viewer-level access 的已驗證使用者可向 analytics collections management endpoint 送出包含過大輸入值的請求,Kibana 在處理時會消耗過多 CPU 與記憶體。

受影響版本為 8.x 的 8.0.0 至 8.19.15(含)。此問題適用於具備 behavioral analytics collections feature 的 self-managed 與 Elastic Cloud Hosted Kibana 部署;Elastic 同時說明,此漏洞不影響 Elastic Cloud Serverless。

問題已在 8.19.16 版本修復。若短期內無法升級,官方建議透過限制對 behavioral analytics collections feature 的存取,來縮小風險。

Elastic Cloud Serverless 方面,Elastic 表示該服務已在公開揭露前完成修補。

嚴重性:CVSS v3.1 為 Medium(6.5);CVE ID:CVE-2026-49094;Problem Type:CWE-400 – Uncontrolled Resource Consumption;Impact:CAPEC-130 – Excessive Allocation。

影響版本

8.x:8.0.0 至 8.19.15(含)

受影響環境

具備 behavioral analytics collections feature 的 self-managed Kibana 部署。
具備 behavioral analytics collections feature 的 Elastic Cloud Hosted Kibana 部署。

建議措施

Kibana 建議升級至安全版本:

  • 8.19.16

無法升級者請採以下因應措施:

若短期內無法升級,可先限制 behavioral analytics collections feature 的存取。

  1. 限制相關功能存取:
    透過限制對 behavioral analytics collections feature 的 Kibana feature privilege,降低可觸發此問題的使用者範圍。

Elastic Cloud 環境:

Elastic 也補充雲端服務的處理結果。

  1. Elastic Cloud Serverless:
    Elastic 表示此漏洞不影響 Elastic Cloud Serverless;其持續部署與修補模式也已在公開揭露前完成修補。

安全性建議

▲ 儘速升級至 8.19.16。
▲ 若暫時無法升級,限制 behavioral analytics collections feature 的存取。

本公司高度重視客戶系統安全,已協助多家企業進行版本檢測與升級建議。如需支援或有相關疑問,歡迎與我們聯繫。

參考來源

快速跳轉目錄

✦ 集先鋒 Bimap – 企業建置高速穩定的海量日誌分析平台✦

集中不同的結構化資料和非結構化日誌,並進行關聯性的大數據整合,客製化儀表版、自訂事件告警、機器學習等等,以滿足各種大數據的應用場景和解決方案。