Elasticsearch 7.17.24, 8.15.0 安全更新 (ESA-2026-52) 漏洞概述 漏洞名称: 不受控制的资源消耗导致拒绝服务 漏洞描述: 在 Elasticsearch 中,不受控制的资源消耗(CWE-400)可能导致通过过度分配(CAPEC-130)引发的拒绝服务。经过身份验证的用户可以提交一个精心构造的批量请求,导致持续的 CPU 消耗,从而使受影响的节点无法处理请求。 影响范围 受影响版本: - 7.x: 所有版本从 7.17.23 及更早版本 - 8.x: 所有版本从 8.0.0 到但不包括 8.15.0 受影响配置: - 所有配置均受影响。利用需要能够提交请求到批量 API 的经过身份验证的账户。 修复方案 解决方案: - 该问题已在版本 7.17.24 和 8.15.0 中解决。 无法升级的用户: - 没有针对此漏洞的变通方法。 其他信息 严重性: CVSSv3.1: Medium (6.5) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVE ID: CVE-2026-49090 问题类型: CWE-400 - 不受控制的资源消耗 影响: CAPEC-130 - 过度分配 相关主题 Elasticsearch 8.19.17, 9.3.6, 9.4.3 安全更新 (ESA-2026-43) Elasticsearch 8.19.17, 9.3.6, 9.4.3 安全更新 (ESA-2026-42) Elasticsearch 7.17.25 和 8.16.0 安全更新 (ESA-2024-40) Elasticsearch 8.9.0, 7.17.13 安全更新 Elasticsearch 8.13.0 / 7.17.19 安全更新 (ESA-2024-06) --- 注意: 页面中未包含 POC 代码或利用代码。