Elasticsearch 安全更新公告(ESA-2026-42)
Elastic 官方發布安全公告,指出 Elasticsearch 查詢處理存在 CVE-2026-56148 未控遞歸漏洞,可能導致拒絕服務。
官方公告重點
Elasticsearch 中的未控遞歸(CWE-674)可能導致拒絕服務。經過身份驗證的使用者可提交特別設計的查詢,導致請求處理過程中資源消耗過量,可能使受影響的節點無法使用。
攻擊條件:只需具備提交查詢權限之身份驗證帳戶;不需要管理員權限。
目前尚未針對此漏洞識別出特定 compromised 指標。
影響版本
8.x:所有 8.0.0 至 8.19.16 版本
9.x:所有 9.0.0 至 9.4.2 版本(9.3 分支影響至 9.3.5)
此問題影響所有配置。
建議措施
Elasticsearch 建議升級至安全版本:
- 8.19.17 / 9.3.6 / 9.4.3
- 若短期內無法升級,此漏洞目前無已知暫時緩解措施。
Elastic Cloud 環境:
Elastic Cloud 環境自動修補狀況:
- Elastic Cloud Serverless:
由於持續部署與修補模式,此漏洞已在公開揭露前自動修補。
本公司高度重視客戶系統安全,已協助多家企業進行版本檢測與升級建議。如需支援或有相關疑問,歡迎與我們聯繫。
