CERTFR-2026-AVI-0041_Multiples vulnérabilités dans les produits Elastic

Multiples vulnérabilités dans les produits Elastic

CERTFR-2026-AVI-0041

• Atteinte à la confidentialité des données
• Contournement de la politique de sécurité
• Déni de service à distance
• Falsification de requêtes côté serveur (SSRF)
• Non spécifié par l'éditeur

• Elasticsearch toutes versions 7.x
• Elasticsearch versions 8.19.x antérieures à 8.19.10
• Elasticsearch versions 9.2.x antérieures à 9.2.4
• Elasticsearch versions 9.x antérieures à 9.1.10
• Kibana toutes versions 7.x
• Kibana versions 8.19.x antérieures à 8.19.10
• Kibana versions 9.2.x antérieures à 9.2.4
• Kibana versions 9.x antérieures à 9.1.10
• Metricbeat toutes versions 7.x
• Metricbeat versions 8.19.x antérieures à 8.19.10
• Metricbeat versions 9.2.x antérieures à 9.2.4
• Metricbeat versions 9.x antérieures à 9.1.10
• Packetbeat toutes versions 7.x
• Packetbeat versions 8.19.x antérieures à 8.19.10
• Packetbeat versions 9.2.x antérieures à 9.2.4
• Packetbeat versions 9.x antérieures à 9.1.10

De multiples vulnérabilités ont été découvertes dans les produits Elastic. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une falsification de requêtes côté serveur (SSRF).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

• Bulletin de sécurité Elastic ESA-2026-01 du 13 janvier 2026
• Bulletin de sécurité Elastic ESA-2026-02 du 13 janvier 2026
• Bulletin de sécurité Elastic ESA-2026-03 du 13 janvier 2026
• Bulletin de sécurité Elastic ESA-2026-04 du 13 janvier 2026
• Bulletin de sécurité Elastic ESA-2026-05 du 13 janvier 2026
• Bulletin de sécurité Elastic ESA-2026-07 du 13 janvier 2026
• Bulletin de sécurité Elastic ESA-2026-08 du 13 janvier 2026
• CVE-2025-66566
• CVE-2026-0528
• CVE-2026-0529
• CVE-2026-0530
• CVE-2026-0531
• CVE-2026-0532
• CVE-2026-0543

https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0041/