Katalog CVE

CVE-2026-49090

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Podatność CVE-2026-49090 w Elasticsearch umożliwia atak typu odmowa usługi (DoS) poprzez niekontrolowane zużycie zasobów. Uwierzytelniony użytkownik może wysłać spreparowane żądanie zbiorcze (bulk request), które powoduje długotrwałe wysokie obciążenie procesora, uniemożliwiając węzłowi przetwarzanie innych zapytań.

Ocena ryzyka

Ryzyko polega na tym, że atakujący z kontem użytkownika może skutecznie wyłączyć węzeł Elasticsearch z działania, co prowadzi do przerw w działaniu usług wyszukiwania i analizy danych, wpływając na dostępność systemu.

Rekomendacja

Zaleca się natychmiastowe zastosowanie poprawek bezpieczeństwa dostarczonych przez Elastic w najnowszej wersji. Jako środek tymczasowy warto ograniczyć rozmiar żądań zbiorczych oraz monitorować zużycie CPU na węzłach.

Oryginalny opis (angielski, źródło NVD)

Uncontrolled Resource Consumption (CWE-400) in Elasticsearch can lead to a denial of service via Excessive Allocation (CAPEC-130). An authenticated user can submit a specially crafted bulk request that causes sustained high CPU consumption, which can render the affected node unable to process requests.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS