Zpětná vazba k reportu

Autentizovanému vzdialenému útočníkovi je v prostredí Kibana vo funkcionalite Workflows v dôsledku nedostatočného ošetrenia špeciálnych prvkov v šablónovacom mechanizme umožnené čítať ľubovoľné súbory zo súborového systému servera a vykonať SSRF útok [1].

Zraniteľnosť sa nachádza v produkte Kibana vo verziách >=9.0 AND <9.3.0.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N

Viac informácií:

• CVE-2026-26938 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-1336: Improper Neutralization of Special Elements Used in a Template Engine at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 26. 2. 2026.

Autentizovanému vzdialenému útočníkovi s oprávneniami iba na zobrazenie je v prostredí Kibana v dôsledku nedostatočnej validácie množstva vstupných údajov umožnené vykonať DoS útok zasielaním špeciálne upravenej požiadavky.

Zraniteľnosť sa nachádza v produkte Kibana vo verziách >=8.18.0 AND <8.19.12.

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

• CVE-2026-26934 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-1284: Improper Validation of Specified Quantity in Input at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 26. 2. 2026.

Neautentizovanému vzdialenému útočníkovi je v prostredí Packetbeat v dôsledku nedostatočnej validácie indexu poľa v spracovaní PostgreSQL protokolu umožnené vykonať DoS útok zaslaním špeciálne upraveného paketu. Zraniteľnosť sa týka iba inštancií, kde je explicitne povolený a nakonfigurovaný parser protokolu pgsql [3].

Zraniteľnosť sa nachádza v produkte Packetbeat vo verziách (>=8.0.0 AND <8.19.11) OR (>=9.0.0 AND <9.2.5).

CVSS: CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

• CVE-2026-26932 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-129: Improper Validation of Array Index at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 26. 2. 2026.