1.5 Aktiv ausgenutzte Lücken
Server-Software, Middleware, Web

Elastic (Elasticsearch/Kibana)

Server-Software, Middleware, Web

Elastic (Elasticsearch/Kibana) gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht Elastic (Elasticsearch/Kibana) kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

19
Reports
3
Aktiv ausgenutzt
Kritisch
Höchste Priorität
94.4%
Max. EPSS

Schwachstellen-Reports

19 Reports

Zeige 1 bis 19 von 19

  1. Kibana – Arbitrary Code Execution

    CVE-2019-7609 Aktiv ausgenutzt

    In Kibana besteht eine Schwachstelle, die die Ausführung beliebigen Codes ermöglicht. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 94.4 %.

    EPSS: 94.43% Publiziert: Referenz: CISA KEV
  2. Elasticsearch Groovy Scripting Engine – Remote Code Execution

    CVE-2015-1427 Aktiv ausgenutzt

    In Elasticsearch ermöglicht die Groovy-Scripting-Engine die Ausführung beliebigen Codes aus der Ferne. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 92.3 %.

    EPSS: 92.33% Publiziert: Referenz: CISA KEV
  3. Elasticsearch: Remote Code Execution

    CVE-2014-3120 Aktiv ausgenutzt

    Eine Remote-Code-Execution-Schwachstelle in Elasticsearch erlaubt Angreifern, beliebigen Code auf betroffenen Systemen auszuführen. Wird laut CISA KEV aktiv ausgenutzt. Ausnutzungswahrscheinlichkeit (EPSS): 84.2 %.

    EPSS: 84.24% Publiziert: Referenz: CISA KEV
  4. Dell ECS / ObjectScale – Hartcodierte Anmeldedaten

    CVE-2026-40636 Kritisch

    Dell ECS in den Versionen 3.8.1.0 bis 3.8.1.7 sowie Dell ObjectScale vor Version 4.3.0.0 enthalten hartcodierte Anmeldedaten. Ein nicht authentifizierter Angreifer mit lokalem Zugriff könnte diese Schwachstelle ausnutzen. CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 9.8 EPSS: 0.05% Publiziert: Referenz: NVD
  5. Logstash – Path Traversal ermöglicht beliebiges Schreiben von Dateien und Remote Code Execution

    CVE-2026-33466 Hoch

    In Logstash ermöglicht eine unzureichende Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis (CWE-22) das beliebige Schreiben von Dateien und potenziell Remote Code Execution via relativer Pfad-Traversierung (CAPEC-139). CVSS-Basiswert: 8.1 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.6 %.

    CVSS: 8.1 EPSS: 0.60% Publiziert: Referenz: NVD
  6. Kibana – Log-Injection durch unzureichende Neutralisierung von Log-Ausgaben

    CVE-2026-49091 Hoch

    In Kibana besteht eine Schwachstelle durch unzureichende Neutralisierung von Ausgaben in Logdateien (CWE-117), die eine Log-Injection ermöglicht. Ein Angreifer kann speziell gestaltete Eingaben liefern, die in die Logs geschrieben werden. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 8.0 EPSS: 0.20% Publiziert: Referenz: NVD
  7. Kibana Workflows – Template-Injection ermöglicht Lesen beliebiger Dateien

    CVE-2026-26938 Hoch

    In Kibana Workflows existiert eine unsachgemässe Neutralisierung von Sonderzeichen in einer Template-Engine (CWE-1336), die es einem Angreifer ermöglicht, beliebige Dateien vom Kibana-Server-Dateisystem auszulesen. CVSS-Basiswert: 8.6 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.6 EPSS: 0.07% Publiziert: Referenz: NVD
  8. Kibana Fleet – Unnötige Berechtigungen ermöglichen Zugriff auf Elasticsearch-Indexdaten

    CVE-2026-4498 Hoch

    In den Debug-Route-Handlern des Fleet-Plugins von Kibana führt die Ausführung mit unnötigen Berechtigungen (CWE-250) dazu, dass Indexdaten ausserhalb des direkten Elasticsearch-RBAC-Geltungsbereichs ausgelesen werden können (Privilege Abuse, CAPEC-122). CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.7 EPSS: 0.06% Publiziert: Referenz: NVD
  9. Kibana Fleet – Fehlerhafte Autorisierung ermöglicht Informationsoffenlegung

    CVE-2026-33461 Hoch

    In Kibana liegt eine fehlerhafte Autorisierung (CWE-863) vor, die zu einer Informationsoffenlegung durch Privilege Abuse führen kann. Ein Benutzer mit eingeschränkten Fleet-Berechtigungen kann einen internen API-Endpunkt ausnutzen, um auf sensible Daten zuzugreifen. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 7.7 EPSS: 0.05% Publiziert: Referenz: NVD
  10. Kibana – Server-Side Request Forgery umgeht Verbindungs-Allowlist

    CVE-2026-42398 Hoch

    In Kibana ermöglicht eine Server-Side Request Forgery (CWE-918) authentifizierten Benutzern mit Connector-Management-Berechtigungen, die vom Operator konfigurierte Verbindungs-Allowlist durch eine Webhook-Konfiguration zu umgehen. CVSS-Basiswert: 7.7 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.7 EPSS: 0.03% Publiziert: Referenz: NVD
  11. Dell Elastic Cloud Storage / ObjectScale – Sensitive Informationen in Log-Dateien

    CVE-2026-28261 Hoch

    Dell Elastic Cloud Storage Version 3.8.1.7 und früher sowie Dell ObjectScale in Versionen vor 4.1.0.3 und Version 4.2.0.0 enthalten eine Schwachstelle durch das Schreiben sensibler Informationen in Log-Dateien. CVSS-Basiswert: 7.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.8 EPSS: 0.02% Publiziert: Referenz: NVD
  12. Elasticsearch: Denial of Service durch unkontrollierte Rekursion

    CVE-2026-56148 Mittel

    Eine unkontrollierte Rekursion (CWE-674) in Elasticsearch kann über eine übermässige Speicherbelegung zu einem Denial of Service führen. Ein authentifizierter Nutzer kann eine speziell gestaltete Abfrage einreichen, die eine übermässige Ressourcennutzung verursacht. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf eine fehlerbereinigte Elasticsearch-Version aktualisieren.

    CVSS: 6.5 EPSS: 0.35% Publiziert: Referenz: NVD
  13. Elasticsearch – Denial of Service durch unbegrenzte Ressourcenzuweisung

    CVE-2026-56149 Mittel

    Eine unbegrenzte Ressourcenzuweisung (CWE-770) in Elasticsearch kann über eine übermässige Allokation zu einem Denial of Service führen. Ein Benutzer mit erhöhten Rechten kann dazu eine speziell präparierte Anfrage stellen. CVSS-Basiswert: 4.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Update auf eine bereinigte Elasticsearch-Version einspielen.

    CVSS: 4.9 EPSS: 0.32% Publiziert: Referenz: NVD
  14. Elastic Fleet Server: Denial of Service durch übermässige Ressourcenallokation

    CVE-2026-56150 Mittel

    Eine unbeschränkte Ressourcenzuweisung (CWE-770) im Elastic Fleet Server kann über eine speziell gestaltete Anfrage zu einem Denial of Service durch übermässige Allokation führen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 6.5 EPSS: 0.31% Publiziert: Referenz: NVD
  15. Elastic Kibana: DoS durch manipulierte Fleet-Policy-Eingabe

    CVE-2026-56151 Mittel

    In Elastic Kibana kann eine unzureichende Eingabevalidierung (CWE-20) zu einem Denial of Service führen. Ein authentifizierter Nutzer kann eine speziell präparierte Fleet-Policy-Eingabe übermitteln. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: betroffene Kibana-Version gemäss Elastic-Advisory aktualisieren.

    CVSS: 6.5 EPSS: 0.28% Publiziert: Referenz: NVD
  16. Kibana – Denial of Service durch unbegrenzte Ressourcenzuteilung

    CVE-2026-49087 Mittel

    In Kibana kann eine unzureichende Begrenzung der Ressourcenzuteilung (CWE-770) zu einem Denial of Service durch übermässige Speicherzuweisung führen. Ein authentifizierter Benutzer kann dies über eine speziell präparierte Bulk-Anfrage auslösen. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %.

    CVSS: 6.5 EPSS: 0.25% Publiziert: Referenz: NVD
  17. Elasticsearch: Denial of Service durch unkontrollierten Ressourcenverbrauch

    CVE-2026-49090 Mittel

    In Elasticsearch kann ein unkontrollierter Ressourcenverbrauch (CWE-400) über eine übermässige Speicherzuweisung zu einem Denial of Service führen. Ein authentifizierter Nutzer kann eine speziell präparierte Bulk-Anfrage einreichen, die den Dienst überlastet. CVSS-Basiswert: 6.5 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.3 %. Empfohlene Massnahme: Auf eine von Elastic bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 6.5 EPSS: 0.25% Publiziert: Referenz: NVD
  18. Elastic Kibana: Sensible Informationen in Logdatei

    CVE-2026-49088 Mittel

    Das Einfügen sensibler Informationen in eine Logdatei (CWE-532) in Kibana kann zur Offenlegung von Informationen führen. Bei aktivierter optionaler Application-Performance-Monitoring-Instrumentierung (APM) werden sensible Daten protokolliert. Betroffen ist Elastic (Elasticsearch/Kibana). CVSS-Basiswert: 4.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: auf eine korrigierte Version aktualisieren.

    CVSS: 4.4 EPSS: 0.21% Publiziert: Referenz: NVD
  19. Elastic Defend – Fehlerhafte Autorisierung ermöglicht Informationsoffenlegung

    CVE-2026-56152 Mittel

    Eine fehlerhafte Autorisierung (CWE-863) in Elastic Defend kann unter bestimmten Bedingungen zu unautorisierter Informationsoffenlegung führen, da Funktionalität nicht ordnungsgemäss durch ACLs eingeschränkt ist. CVSS-Basiswert: 5.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Update auf eine bereinigte Elastic-Version einspielen.

    CVSS: 5.3 EPSS: 0.18% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für Elastic (Elasticsearch/Kibana), kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog