漏洞关键信息总结 1. 漏洞概述 漏洞名称: Improper Limitation of a Pathname to a Restricted Directory in Logstash Leading to Arbitrary File Write (Logstash中受限目录路径名限制不当导致任意文件写入) 漏洞描述: Logstash使用的归档提取工具未正确验证压缩归档内的文件路径。攻击者若通过受损或受控的更新端点向Logstash提供特制归档文件,可写入任意文件到主机文件系统(拥有Logstash进程权限)。在某些启用了自动管道重新加载(automatic pipeline reloading)的配置下,此漏洞可升级为远程代码执行(RCE)。 CVE ID: CVE-2026-33466 CVSS评分: High (8.1) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 问题类型: CWE-22 (Improper Limitation of a Pathname to a Restricted Directory) 影响: CAPEC-139 (Relative Path Traversal) 2. 影响范围 8.x 版本: 8.0.0 至 8.19.13 (含) 9.x 版本: 9.0.0 至 9.2.7 (含) 9.3.0 至 9.3.2 (含) 受影响配置: 启用了GeoIP数据库下载器并配置为使用外部更新端点的部署。风险在启用了自动管道配置重新加载且管道配置目录可被Logstash进程写入时升高。 3. 修复方案 官方修复: 升级至以下版本: 8.19.14 9.2.8 9.3.3 无法升级时的缓解措施: 在Logstash配置中设置 以禁用GeoIP数据库下载器。 确保GeoIP下载器端点使用HTTPS并指向受信任的来源。 禁用自动管道配置重新加载,以防止通过写入文件执行代码。 限制Logstash进程的文件系统写入权限,仅保留必要目录的权限。 入侵指标 (IoC): 检查GeoIP数据库目录外是否有意外写入的文件。 监控Logstash日志中的GeoIP数据库下载活动。 检查是否存在未解释的管道配置文件或更改。 * 审查文件完整性监控警报。