Elastic社、Kibanaの重大な脆弱性に対する緊急パッチを公開

Elastic社は、人気のデータ分析・可視化プラットフォームであるKibanaにおける4つの重大な脆弱性に対処するため、緊急セキュリティパッチをリリースしました。これらの脆弱性が悪用された場合、攻撃者は機密ファイルの窃取、サービス停止の誘発、システムリソースの枯渇を引き起こす可能性があります。

2026年1月14日に公開された勧告によると、Kibanaのバージョン7.xから9.2.3までの広範囲にわたるバージョンが影響を受けます。

最も深刻な脆弱性：機密ファイル開示とSSRF (CVE-2026-0532)

今回修正された脆弱性の中で最も深刻なのは、CVSSスコア8.6（高）と評価されているCVE-2026-0532です。この脆弱性は、外部ファイルパス制御とサーバーサイドリクエストフォージェリ（SSRF）を組み合わせたもので、KibanaのGoogle Geminiコネクタに存在します。コネクタ管理権限を持つ認証済み攻撃者は、悪意のあるJSONペイロードを作成することで、認証情報の窃取や、設定ファイル、認証情報、アプリケーションデータなどの機密ファイルをシステムから直接読み取ることが可能になります。

サービス運用妨害（DoS）につながる中程度の脆弱性

さらに、3つの中程度の深刻度の脆弱性が、リソース枯渇を通じてサービス運用妨害（DoS）を引き起こす可能性があります。これらは以下の通りです。

• CVE-2026-0530 (CVSS 6.5, 中): Kibana Fleetにおける不適切なリソース割り当て。低権限の閲覧者が、特別に細工された一括取得リクエストを作成することで、冗長なデータベース操作をトリガーし、メモリを消費させてサーバーをクラッシュさせる可能性があります。
• CVE-2026-0531 (CVSS 6.5, 中): CVE-2026-0530と同様に、Kibana Fleetにおける不適切なリソース割り当てが原因で、同様のDoS状態を引き起こす可能性があります。
• CVE-2026-0543 (CVSS 6.5, 中): Email Connectorにおける不適切な入力検証。メールアドレスパラメータの検証不備が悪用されると、過剰なリソース消費が発生し、サービスが完全に利用不能になる可能性があります。

対策と推奨事項

Elastic社は、影響を受ける組織に対し、以下のバージョンへの緊急アップグレードを強く推奨しています。

• 8.19.10
• 9.1.10
• 9.2.4

すぐにアップグレードできない組織向けには、限定的な緩和策として、xpack.actions.enabledActionTypes設定パラメータを通じて特定のコネクタタイプを無効にすることが提案されています。

なお、Elastic Cloud Serverlessデプロイメントは、情報公開前に継続的デプロイメントモデルを通じてすでにパッチが適用されており、クラウドネイティブユーザーは影響を受けません。

組織は、特に信頼できないネットワークからアクセス可能なシステムや、認証済みユーザーがコネクタ操作を実行できる共有マルチテナント環境において、パッチ適用作業を優先すべきです。

---

元記事: https://gbhackers.com/multiple-elastic-vulnerabilities/