Risques
- Déni de service à distance
- Exécution de code arbitraire à distance
- Falsification de requêtes côté serveur (SSRF)
Systèmes affectés
- Kibana versions 8.x antérieures à 8.19.12
- Kibana versions 9.3.x antérieures à 9.3.1
- Kibana versions 9.x antérieures à 9.2.6
- Packetbeat versions 8.x antérieures à 8.19.11
- Packetbeat versions 9.x antérieures à 9.2.5
- Synthetics Recorder versions antérieures à 1.4.14
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Elastic. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une falsification de requêtes côté serveur (SSRF).
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Elastic 385247 du 26 février 2026 https://discuss.elastic.co/t/packetbeat-8-19-11-9-2-5-security-update-esa-2026-10/385247
- Bulletin de sécurité Elastic 385248 du 26 février 2026 https://discuss.elastic.co/t/kibana-8-19-12-9-2-6-9-3-1-security-update-esa-2026-12/385248
- Bulletin de sécurité Elastic 385249 du 26 février 2026 https://discuss.elastic.co/t/kibana-8-19-12-9-2-6-9-3-1-security-update-esa-2026-13/385249
- Bulletin de sécurité Elastic 385250 du 26 février 2026 https://discuss.elastic.co/t/kibana-8-19-11-9-2-5-security-update-esa-2026-14/385250
- Bulletin de sécurité Elastic 385251 du 26 février 2026 https://discuss.elastic.co/t/kibana-8-19-11-9-2-5-security-update-esa-2026-15/385251
- Bulletin de sécurité Elastic 385252 du 26 février 2026 https://discuss.elastic.co/t/synthetics-recorder-1-4-15-security-update-esa-2026-16-cve-2025-6554-and-cve-2025-7657/385252
- Bulletin de sécurité Elastic 385253 du 26 février 2026 https://discuss.elastic.co/t/kibana-9-3-1-security-update-esa-2026-17/385253
- Référence CVE CVE-2020-7017 https://www.cve.org/CVERecord?id=CVE-2020-7017
- Référence CVE CVE-2025-6554 https://www.cve.org/CVERecord?id=CVE-2025-6554
- Référence CVE CVE-2025-7657 https://www.cve.org/CVERecord?id=CVE-2025-7657
- Référence CVE CVE-2026-26932 https://www.cve.org/CVERecord?id=CVE-2026-26932
- Référence CVE CVE-2026-26934 https://www.cve.org/CVERecord?id=CVE-2026-26934
- Référence CVE CVE-2026-26935 https://www.cve.org/CVERecord?id=CVE-2026-26935
- Référence CVE CVE-2026-26936 https://www.cve.org/CVERecord?id=CVE-2026-26936
- Référence CVE CVE-2026-26937 https://www.cve.org/CVERecord?id=CVE-2026-26937
- Référence CVE CVE-2026-26938 https://www.cve.org/CVERecord?id=CVE-2026-26938
