Katalog CVE

CVE-2026-56149

ŚrednieCVSS 4.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 24 — wyżej niż 24% wszystkich znanych CVE

Streszczenie

Podatność CWE-770 w Elasticsearch umożliwia atak DoS poprzez nadmierną alokację pamięci. Użytkownik z podwyższonymi uprawnieniami może wysłać spreparowane żądanie uczenia maszynowego, co prowadzi do wyczerpania zasobów i niedostępności węzła.

Ocena ryzyka

Ryzyko polega na potencjalnym zakłóceniu działania klastra Elasticsearch, co może wpłynąć na dostępność usług wyszukiwania i analizy danych w organizacji.

Rekomendacja

Zaleca się natychmiastową aktualizację Elasticsearch do wersji zawierającej poprawkę oraz ograniczenie uprawnień użytkowników mogących wysyłać żądania uczenia maszynowego.

Oryginalny opis (angielski, źródło NVD)

Allocation of Resources Without Limits or Throttling (CWE-770) in Elasticsearch can lead to a denial of service via Excessive Allocation (CAPEC-130). A user with elevated privileges can submit a specially crafted machine learning request that causes excessive memory consumption, which may render the affected node unavailable.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS