Elastic - CVE-2026-4498

Date de publication :

Il s'agit d'une vulnérabilité dans les gestionnaires de routes de débogage du plugin Fleet de Kibana.

Kibana est l'interface de visualisation et d'administration de la suite Elastic Stack. Elle permet l'exploration de données, la création de tableaux de bord et la gestion des pipelines d'ingestion au travers de plugins comme Fleet, qui assure la supervision et la configuration des agents Elastic déployés dans l'infrastructure.

Ces routes internes - /internal/fleet/debug/index et /internal/fleet/debug/saved_objects - sont enregistrées automatiquement dès que Fleet est actif, ce qui est le cas par défaut. Elles s'exécutent avec des privilèges Elasticsearch supérieurs à ceux accordés à l'utilisateur appelant, sans vérifier les droits RBAC de ce dernier. Un utilisateur authentifié disposant de sous-privilèges Fleet (gestion des agents, des politiques d'agents ou des paramètres) peut ainsi interroger ces routes pour lire des index Elasticsearch hors de son périmètre RBAC direct.

Elle permet une atteinte à la confidentialité des données avec un impact élevé sur des ressources situées hors du scope de l'utilisateur.

CVE-2026-4498

[Score CVSS v3.1 : 7.7]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Atteinte à la confidentialité des données

Exploitation

La vulnérabilité exploitée est du type
CWE-250 : Execution with Unnecessary Privileges

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Kibana versions 8.0.0 jusqu'à 8.19.13
•   Kibana versions 9.0.0 jusqu'à 9.2.7
•   Kibana versions 9.3.0 jusqu'à 9.3.2

Contournement provisoire

Restreindre les rôles personnalisés accordant les sous-privilèges Fleet (agents_all, agent_policies_all, settings_all) aux seuls utilisateurs administrateurs de confiance, selon les recommandations d'Elastic.

Solutions ou recommandations

•   Kibana version 8.19.14 et supérieures (branche 8.x).
•   Kibana version 9.2.8 et supérieures (branche 9.2).
•   Kibana version 9.3.3 et supérieures (branche 9.3).
•   Elastic Cloud Serverless a été corrigé avant la divulgation publique, aucune action n'est requise pour ce déploiement.

Liens