漏洞概述 漏洞名称: Server-Side Request Forgery (SSRF) in Kibana Leading to Unauthorized Network Access CVE ID: CVE-2026-42398 CWE ID: CWE-918 - Server-Side Request Forgery (SSRF) 严重程度: CVSSv3.1: High (7.7) - AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N 影响范围 受影响版本: - 9.x: 所有从9.0.0到9.2.7的版本 - 9.3.x: 所有从9.3.0到9.3.1的版本 受影响配置: - Kibana部署中, 设置被配置为限制出站连接器连接(即未设置为通配符值),并且用户被授予连接器管理权限。 修复方案 解决方案: - 该问题在9.2.8和9.3.2版本中已解决。 Elastic Cloud Serverless: - 由于我们的持续部署和修补模型,此安全公告中描述的漏洞在Elastic Cloud Serverless提供之前已修复。 相关主题 Kibana 9.3.3 Security Update (ESA-2026-40) Kibana 9.3.3 Security Update (ESA-2026-28) Kibana 8.19.10, 9.1.10, 9.2.4 Security Update (ESA-2026-05) Kibana 9.3.1 Security Update (ESA-2026-17) Kibana 8.19.12, 9.2.6, 9.3.1 Security Update (ESA-2026-13) 代码块 页面中未包含POC代码或利用代码。